Les échanges de courriers électroniques entre le directeur de la National Security Agency, le général Keith Alexander, et les dirigeants de Google, Sergey Brin et Eric Schmidt, suggèrent une relation de travail beaucoup plus chaleureuse entre eux.certaines entreprises technologiques et le gouvernement américain C'est ce que laissent entendre les dirigeants de la Silicon Valley après les révélations de l'année dernière sur l'espionnage de la NSA.
Les révélations d'Edward Snowden, ancien sous-traitant de la NSA, sur la vaste capacité de l'agence à espionner les communications électroniques des Américains ont incité un certain nombre de dirigeants technologiques dont les entreprises ont coopéré avec le gouvernement à insister sur le fait qu'ils ne l'avaient fait que lorsqu'ils y étaient contraints par un tribunal.
Mais Al Jazeera a obtenu deux séries de communications par courrier électronique datant d’un an avant que Snowden ne devienne un nom connu, suggérant que toute coopération n’était pas sous pression.
Le matin du 28 juin 2012, un e-mail d'Alexander invitait Schmidt à assister à un « briefing classifié sur les menaces » de quatre heures le 8 août dans une « installation sécurisée à proximité de l'aéroport de San Jose, en Californie ».
« La discussion de la réunion sera thématique et orientée vers la décision, en mettant l'accent sur Menaces liées à la mobilité et sécurité", a écrit Alexander dans l'e-mail, obtenu dans le cadre d'une demande du Freedom of Information Act (FOIA), la première des dizaines de communications entre le chef de la NSA et les dirigeants de la Silicon Valley que l'agence envisage de remettre.
Alexander, Schmidt et d'autres dirigeants de l'industrie se sont rencontrés plus tôt dans le mois, selon l'e-mail. Mais Alexander souhaitait une autre réunion avec Schmidt et « un petit groupe de PDG » plus tard cet été-là, car le gouvernement avait besoin de l'aide de la Silicon Valley.
"Il y a environ six mois, nous avons commencé à nous concentrer sur la sécurité des appareils de mobilité", a écrit Alexander. « Un groupe (principalement Google, Apple et Microsoft) est récemment parvenu à un accord sur un ensemble de principes fondamentaux de sécurité. Lorsque nous atteignons ce stade de nos projets, nous planifions une séance d'information classifiée pour les PDG des principales entreprises afin de leur fournir un aperçu des menaces spécifiques que nous pensons pouvoir être atténuées et d'obtenir leur engagement pour que leur organisation aille de l'avant… La participation de Google au raffinement, l’ingénierie et le déploiement des solutions seront essentiels.
Jennifer Granick, directrice des libertés civiles au Center for Internet and Society de la Stanford Law School, a déclaré qu'elle pensait que le partage d'informations entre l'industrie et le gouvernement était « absolument essentiel », mais « en même temps, il existe un certain risque pour la vie privée et la sécurité des utilisateurs ». de la manière dont la divulgation de la vulnérabilité est effectuée.
Le défi auquel sont confrontés le gouvernement et l'industrie est d'améliorer la sécurité sans compromettre la confidentialité, a déclaré Granick. Les courriels entre Alexander et les dirigeants de Google, a-t-elle déclaré, montrent "comment le partage informel d'informations s'est produit dans ce vide où il n'existait pas de méthodologie connue, transparente, concrète et établie pour mettre les informations de sécurité entre de bonnes mains".
Le briefing classifié cité par Alexander faisait partie d'une initiative gouvernementale secrète connue sous le nom d'Enduring Security Framework (ESF), et son courrier électronique fournit des informations rares sur ce qu'implique l'ESF, l'identité de certaines entreprises technologiques participantes et les menaces dont elles ont discuté.
Alexander a expliqué que les secrétaires adjoints du ministère de la Défense, de la Sécurité intérieure et « 18 PDG américains » ont lancé le FSE en 2009 pour « coordonner les actions du gouvernement et de l'industrie sur des problèmes de sécurité importants (généralement classifiés) qui ne pouvaient pas être résolus par des acteurs individuels seuls ». .»
« Par exemple, au cours des 18 derniers mois, nous (principalement Intel, AMD [Advanced Micro Devices], HP [Hewlett-Packard], Dell et Microsoft du côté de l'industrie) avons réalisé un effort pour sécuriser le BIOS des plates-formes d'entreprise pour répondre à un problème. menace dans cette zone.
« BIOS » est un acronyme pour « système d'entrée/sortie de base », le logiciel système qui initialise le matériel d'un ordinateur personnel avant le démarrage du système d'exploitation. Debora Plunkett, chef de la cyberdéfense de la NSA, a révélé en décembre que l'agence avait déjoué un « complot du BIOS » par un « État-nation », identifié comme la Chine, pour briquer les ordinateurs américains. Ce complot, a-t-elle dit, aurait pu détruire l’économie américaine. « 60 Minutes », qui a révélé l'histoire, a rapporté que la NSA avait travaillé avec des « fabricants d'ordinateurs » anonymes pour remédier à la vulnérabilité du logiciel du BIOS.
Mais certains experts en cybersécurité remis en question le scénario décrit par Plunkett.
"Il y a probablement un événement réel derrière cela, mais c'est difficile à dire, car nous n'avons aucun détail", a écrit Robert Graham, PDG de la société de tests d'intrusion Errata Security à Atlanta, sur son blog en décembre. « C’est complètement faux dans le message qu’il tente de faire passer. Ce qui en ressort est du charabia, comme n’importe quel technicien peut le confirmer.
Et en faisant appel à la NSA pour renforcer leurs défenses, ces entreprises se sont peut-être rendues plus vulnérables aux efforts de l'agence pour les pirater à des fins de surveillance.
"Je pense que le public devrait se demander si la NSA faisait vraiment de son mieux, comme le prétendent les courriels, pour aider à sécuriser le BIOS et les appareils mobiles de l'entreprise et ne gardait pas les meilleures vulnérabilités près de sa poitrine", a déclaré Nate Cardozo, un membre du personnel. avocat au sein de l'équipe des libertés civiles numériques de l'Electronic Frontier Foundation.
Il ne doute pas que la NSA essayait de sécuriser le BIOS de l'entreprise, mais il a suggéré que l'agence, pour ses propres besoins, « recherchait des faiblesses dans les mêmes produits qu'elle essaie de sécuriser ».
La NSA « n’a pas à aider Google à sécuriser ses installations contre les Chinois et en même temps à pirater par des portes dérobées et à exploiter les connexions fibre optique entre les centres de base de Google », a déclaré Cardozo. "Le fait que ce soit la même agence qui fasse ces deux choses est manifestement contradictoire et ridicule." Il a recommandé de diviser les fonctions offensives et défensives entre deux agences.
Deux semaines après la diffusion de « 60 Minutes », le magazine allemand Der Spiegel, citant des documents obtenus par Snowden, rapportait que le La NSA a inséré des portes dérobées dans le BIOS, faisant exactement ce que Plunkett a accusé un État-nation de faire lors de son entretien.
Schmidt de Google n'a pas pu assister à la réunion sur la sécurité de la mobilité à San Jose en août 2012.
« Général Keith… c'est vraiment génial de vous voir… ! » Schmidt a écrit. « Il est peu probable que je sois en Californie cette semaine-là, donc je suis désolé de ne pas pouvoir y assister (je serai sur la côte Est). J'adorerais te revoir une autre fois. Merci !" Depuis les révélations de Snowden, Schmidt a critiqué la NSA et a déclaré que sonles programmes de surveillance peuvent être illégaux.
Le général de l'armée Martin E. Dempsey, président des chefs d'état-major interarmées, a assisté à cette réunion d'information. Foreign Policy a rapporté un mois plus tard que Dempsey et d'autres représentants du gouvernement – sans aucune mention d’Alexander – étaient dans la Silicon Valley « pour interroger les dirigeants de toute la vallée et discuter de la nécessité de partager rapidement des informations sur les cybermenaces ». Foreign Policy a noté que les dirigeants de la Silicon Valley présents appartenaient au FSE. L’article ne dit pas que les menaces à la mobilité et à la sécurité étaient les principaux points à l’ordre du jour, avec un briefing classifié sur les menaces.
Une semaine après le rassemblement, Dempsey a déclaré lors d'un point de presse du Pentagone : « J'étais récemment dans la Silicon Valley, pendant environ une semaine, pour discuter des vulnérabilités et des opportunités dans le cyberespace avec les leaders de l'industrie… Ils étaient d'accord – nous étions tous d'accord sur la nécessité de partager les menaces. informations à la vitesse du réseau.
Le co-fondateur de Google, Sergey Brin, a assisté aux réunions précédentes du groupe ESF, mais en raison d'un conflit d'horaire, selon le courrier électronique d'Alexandre, il n'a pas non plus pu assister à la réunion d'information du 8 août à San Jose, et on ne sait pas si quelqu'un d'autre de Google a été envoyé.
Quelques mois plus tôt, Alexander avait envoyé un email à Brin pour le remercier de la participation de Google au FSE.
«Je considère le travail de l'ESF comme essentiel aux progrès du pays contre la menace du cyberespace et j'apprécie vraiment Vint Cerf [vice-président de Google et évangéliste en chef de l'Internet], Eric Grosse [vice-président de l'ingénierie de sécurité] et Adrian Ludwig [ingénieur en chef pour la sécurité Android] contributions à ces efforts au cours de l’année écoulée », a écrit Alexander dans un courriel du 13 janvier 2012.
« Vous avez récemment reçu une invitation à la réunion du groupe de pilotage exécutif du FSE, qui se tiendra le 19 janvier 2012. La réunion est l'occasion de reconnaître nos réalisations de 2012 et de définir l'orientation pour l'année à venir. Nous discuterons des objectifs et des cibles spécifiques de l'ESF pour 2012. Nous discuterons également de certaines des menaces que nous constatons et de ce que nous faisons pour atténuer ces menaces… Vos idées, en tant que membre clé de la base industrielle de défense, sont précieuses pour garantir le bon fonctionnement de l'ESF. les efforts ont un impact mesurable.
Un représentant de Google a refusé de répondre à des questions spécifiques sur la relation de Brin et Schmidt avec Alexander ou sur le travail de Google avec le gouvernement.
"Nous travaillons très dur pour protéger nos utilisateurs contre les cyberattaques, et nous parlons toujours à des experts – y compris au sein du gouvernement américain – afin de garder une longueur d'avance", a déclaré le représentant dans une déclaration à Al Jazeera. "C'est pourquoi Sergey a assisté à cette conférence de la NSA."
Brin a répondu à Alexander le lendemain, même si le chef de la NSA n'a pas utilisé l'adresse e-mail appropriée pour contacter le coprésident.
«Salut Keith, au plaisir de te voir la semaine prochaine. Pour information, ma meilleure adresse e-mail à utiliser est [expurgée] », a écrit Brin. « Celui à qui votre e-mail est allé – [email protected] — Je ne vérifie pas vraiment.
ZNetwork est financé uniquement grâce à la générosité de ses lecteurs.
Faire un don