[IES News Service – GoogleWatch – 09/08/07]
Google s’était illustré en refusant de fournir aux services de sécurité des Etats-unis les logs de connexion et les données de recherche sur le Web de ses utilisateurs. Mais les services secrets n’ont pas besoin de l’autorisation de la direction de Google pour accéder aux logs, ils peuvent utiliser les nombreuses « portes de derrière » humaines qu’ils ont planté dans l’entreprise.

Lors d’un atelier consacré à la sécurité informatique qui s’est tenu à l’occasion de DEFCON, un certain B., prétendument chef de projet chez Google a affirmé que sa société comportait des « human backdoors« , des taupes recrutées par les services de renseignement des Etats-unis et qui permettent aux agents fédéraux d’accéder aux informations recherchées sur certaines personnes.

B. a déclaré « Google est une grosse boite, entièrement informatisée, qui embauche à tour de bras et qui n’a pas trop les moyens d’être regardante dans ses embauches. Si tu es bon, si tu lui apportes quelque chose dont l’entreprise a besoin, elle va t’embaucher sans vérifier si tu es fiché ou non. »

« Mais parmi les ingénieurs et techniciens recrutés, il y en a un certain nombre qui a déjà eu des ennuis avec la loi. Des hackers, des pirates de DVD mais aussi tout simplement des fumeurs de shit et des fêtards qui roulent bourrés. Moi, dans mon équipe, j’ai été informé par deux mes gars qu’ils avaient été approchés par des agents fédéraux qui leur proposaient de laisser tomber la procédure pour alcool au volant ou possession de drogue si en échange ils acceptaient de ‘fournir à l’occasion des renseignements’, par exemple les logins et mots de passe de tel ou tel compte, permettant d’accéder à ses mails, mais surtout, à son historique de navigation. On leur demandé aussi de faire des recherches sur certains mots clés ou repérer les gens qui se connectent sur certains sites. »

« C’est relativement sans risque. Le gars m’appelle un soir, je lui donne oralement le mot de passe, il se connecte via le Web pour aller chercher ses infos. Qui va le savoir ? Idem pour les logs. Il y a des sauvegardes qui sont faites. C’est pas difficile d’ouvrir des accès sous prétexte de maintenance et de laisser les fouineurs y mettre leur nez. Une « backdoor » logicielle, ça laisse des traces sur les disques durs, dans le code manipulé. Une backdoor humaine ne laisse pas de trace, pas de troyen, rien. Le risque pour l’employé est minimal. Et les services secrets peuvent continuer à faire semblant de respecter la « politique de confidentialité » de Google. »

En 2006 déjà la société de télécommunications AT&T avait annoncé qu’elle fournirait, à la demande des services de sécurité états-uniens, les logs de connexion au Web de ses utilisateurs.