[Gregoire Seither - IES News Service - 28/03/2008]
Au début du mois, à Washington D.C., le “hacker éthique” Babak Pasdar, PDG de Bat Blue Corporation, a fait circuler un affidavit (une déclaration faite sous serment) dans lequel il décrit comment, dans le cadre d’une mission d’intervention technique, il a découvert par hasard une “trappe d’accès” électronique, c’est à dire un port de connexion non surveillé et sans aucune limitation, permettant à une tierce personne d’accéder à tous les flux de données de la totalité du réseau d’un des plus gros opérateurs de télécommunications du pays. L’opérateur n’est pas nommé dans l’affidavit, mais tout le monde a vite compris qu’il s’agissait de Verizon.
Les clients de Pasdar - qui l’avaient embauché en intérim pour réaliser une migration de système d’exploitation sur leurs serveurs - lui ont expliqué que cette “backdoor” tout à fait inhabituelle portait le nom de code interne de “Quantico Circuit” et qu’il ne devait “en aucun cas en restreindre l’accès ou la bloquer par le Firewall (pare-feu électronique) “. L’académie du FBI en Virginie est basée à Quantico.
Alerté par le nom donné à ce cette trappe d’accès, Pasdar a regardé la chose de plus près et s’est rendu compte qu’il s’agissait en fait d’un accès direct au “coeur du réseau” de son client, “permettant un accès complet et sans aucune restriction au système de facturation, aux SMS et aux systèmes de détection de fraudes” de son client opérateur téléphonique. Cet accès permet, par exemple, “de se connecter à n’importe quelle conversation en cours sur n’importe quel téléphone portable utilisant les services de l’opérateur. Idem pour les SMS et la localisation de l’appelant et du destinataire“.
Pour Pasdar, “permettra à une tierce partie d’accèder au coeur de votre réseau, sans aucune restriction” est une aberration “qui va à l’encontre des règlements internes de la société” . Il proposa de mettre au moins en place un système de surveillance de cet accès, afin d’enregistrer “la source, la destination et le type de données” qui sortaient par ce circuit DS3.
Mais ses employeurs refusèrent et appelèrent le directeur de la sécurité qui, “me pointant du doigt comme si j’étais un petit garçon qui avait fait une bétise, m’informa que je dépassais mes attributions et que ce n’était pas pour cela qu’on me payait.”
Pasdar, qui travaille depuis 19 ans sur les protocoles de sécurité Internet, se vit ordonner de “continuer à faire ce pourquoi on l’avait embauché“, “de ne plus se préoccuper de ce circuit” et “d’en oublier l’existence“… sinon l’opérateur de télécoms se chargerait de le “remplacer par quelqu’un de plus docile“.
Jusqu’à présent, le Foreign Intelligence Surveillance Act (FISA) interdisait expressément aux services secrets U.S. d’écouter les conversations téléphoniques et de surveiller les échanges électroniques à l’intérieur des Etats-unis. Mais en 2002, l’Administration Bush autorisa secrètement la National Security Agency à passer outre la loi FISA et d’intercepter librement toutes les communications Internet et téléphoniques, ainsi que consulter les logs de connexion de milliards de citoyens U.S.. Quand la presse révéla l’affaire, le Congrès vota des amendements à FISA (et en changea le nom pour mieux faire passer la pillule, l’appelant la loi Protect America).
Dorénavant les services secrets peuvent espionner les citoyens U.S. mais seulement s’ils fournissent un mandat de perquisition signé par un juge. Dans ce cas, les sociétés de télécommunications n’ont pas d’autre choix que de coopérer et fournir les logs et données aux services d’espionnage domestique - comme certaines le faisaient déjà, illégalement, auparavant. Les entreprises de télécom ont d’ailleurs demandé au Congrès de leur accorder une immunité rétroactive afin d’annuler les nombreux procès intentés par les défenseurs de la vie privée.
Affidavit disponible ici : http://blog.wired.com/27bstroke6/files/Affidavit-BP-Final.pdf
![[Valid RSS]](http://www.libertes-internets.net/archives/images/valid-rss.png)
