2013 s’est achevée sur une énième affaire d’espionnage faisant suite aux révélations Prism. Le 29 décembre le quotidien allemand Der Speigel, sur la base de documents fournis par le « lanceur d’alerte » Edward Snowden, a dévoilé le piratage par la NSA du câble sous-marin de télécommunication Sea-Me-We 4, dont l’un des 16 opérateurs usagers n’est autre qu’Orange. En réaction à cette annonce, Orange qui se défend d’une quelconque coopération dans l’interception des données de communication, a fait connaître le 30 décembre, son intention, si cela était nécessaire, de se constituer partie civile…
Des installations stratégiques
Les câbles sous-marins de fibres sont des infrastructures essentielles pour le bon fonctionnement d’internet. Le câble transcontinental permet d’augmenter de manière significative la bande passante et la connectivité qui couvre la téléphonie, l’internet, le multimédia et diverses applications de données à larges bandes. Sea-Me-We 4 ou SMW4 qui est le projet conjoint d’Alcatel Submarine Networks et Fujistu Ltd, a une position stratégique.
Ce câble de 20 000 kilomètres au départ de Marseille, «constitue l’épine dorsale du réseau» reliant l’Europe à l’Afrique du Nord, au Moyen Orient et à certains pays de l’Asie –pacifique.
On imagine aisément qu’un tel transit de données puisse attirer la curiosité de n’importe quelle agence de sécurité nationale. Il aurait été tout à fait concevable d’imaginer qu’un film Hollywoodien se saisisse du sujet et narre l’histoire du piratage de ces infrastructures. Pourtant nul besoin de recourir à la fiction, il semble que la réalité l’ait devancée.
Poursuivant son entreprise, Edward Snowden et ses révélations sur Prism et les écoutes à grande échelle qui ont déclenché une prise de conscience mondiale sur la question complexe de la protection des données, a informé et fourni des documents au quotidien Der Spiegel dévoilant l’intrusion par la NSA du câble SMW4. Une opération dont la réussite aurait encouragé la NSA à prévoir d’autres interceptions de données comme l’indique le même document cité par le journal allemand.
L’agence américaine aurait collecté les informations de gestion des systèmes du câble sous-marin géré par un Consortium formés de 16 opérateurs télécoms dont Orange.
L’interception de données, nom de code : quantuminsert
Selon Snowden la NSA , grâce à son équipe de hacker de haut vol, la Tailored Access Opération, spécialiste du cyber-espionnage aurait piraté le site de gestion du câble SMW4 le 13 février dernier. Cette infiltration aurait permis à la NSA de récupérer des documents détaillant la distribution des flux de données entre les différents nœuds du réseau. Mettant ainsi l’Agence américaine en capacité de dresser une « cartographie d’une partie significative du réseau » comme il est également possible de le lire sur les documents remis par Snowden.
Pour obtenir ces résultats la TAO aurait utilisé la méthode du « Quantum insert » qui consiste à rediriger les employés de l’entreprise vers des copies de sites crées par la NSA. Une fois connectés à ces sites, des logiciels espions infiltrent les ordinateurs.
Relayées par Médiapart, ces informations ont rapidement fait réagir l’opérateur français qui est usager du câble et dont les liens avec le constructeur Alcatel-Lucent sont étroits.
La réaction d’Orange : Plainte éventuelle et cyberdéfense
En matière de Data, il y aura dans l’Histoire l’Avant et l’Après Snowden. Les révélations fracassantes et surtout les preuves qu’il en a apportées, ont empêché l’opinion publique d’ignorer plus longtemps encore les enjeux de la protection des données. Entre espionnage à la « 1984 » et réseaux sociaux qui pénètrent au cœur de notre vie quotidienne, les titres de presse nous révèlent chaque jour que ce que nous pensons être un espace privé ne l’est probablement pas : la NSA accéderait aux téléphones portables, au contenu de nos SMS, et pourrait accéder à un ordinateur non connecté à internet, etc. …
Le public est donc désormais très sensible à la question. Et cette annonce, de l’infiltration de la NSA dans SMW4, représente un très mauvais coup de pub pour Orange qui y a immédiatement vu le risque de la perte de confiance de ses gros clients, que la perspective de la fuite des données d’entreprises ne doit guère réjouir.
L’opérateur, réactif, a eut tôt fait de faire savoir qu’il n’avait « aucune implication dans une telle opération » et qu’il n’avait « nullement connaissance d’une intrusion ». « Ces manœuvres ont été effectuées entièrement à l’insu d’Orange», a précisé une porte-parole de l’entreprise. L’opérateur a également ajouté qu’il se constituerait partie civile, «dans l’hypothèse où des données Orange transportées par le câble en question auraient fait l’objet d’une tentative d’interception»…
L’intention, louable, nous nous en doutons n’aura sans doute pas suffit à rassurer les grandes entreprises clientes d’Orange.
C’est peut être ce qui a motivé quelques jours plus tard l’opérateur télécom à annoncer le rachat d’Athéos.
Athéos est une société française spécialisé en gestion des identités et des autorisations d’accès aux documents, en « protection du patrimoine informationnel » (classification des informations, stratégies juridiques de protection des données, contre-mesures physiques ou logicielles,…) et enfin en « cybersurveillance et sécurité de l’information ».
La société explique développer en cyberdéfense des stratégies de détection des invasions , de prévention des risques et d’archivage à valeur probante afin de pouvoir attaquer en justice en cas d’intrusion … Athéos serait donc le remède parfait à la déconvenue rendue publique d’Orange.
Par cette fusion d’Orange Business Services et Athéos, Orange devient « la plus importante société de services européenne dans le marché de la cyberdéfense. ». La toute nouvelle entité ORANGE CYBERDEFENSE se concentrerait sur le contrôle d’accès et la lutte contres les fuites d’informations et la « cyberdéfence active » c’est-à-dire l’identification avancée des failles et des vulnérabilités, la détection et l’interprétation des signaux faibles d‘attaque, gestion des crises et intervention sur site.
Le message d’Orange est bien passé : ” Les services de sécurité sont une priorité stratégique pour Orange Business Services, car c’est un enjeu majeur pour nos clients. Avec cette acquisition, nous sommes désormais le seul acteur à l’échelle européenne capable d’accompagner les entreprises sur toutes les dimensions d’une stratégie de sécurité et de sa mise en œuvre opérationnelle. Nous renforçons ainsi notre promesse de partenaire de confiance de leur transformation digitale.” S’est ainsi exprimé Thierry Bonhomme, le Directeur Exécutif d’Orange Business Services.
Quel avenir pour l’espionnage des données ?
Seul le temps nous dira si l’opération aura permis une protection effective des données, mettant à l’abri les entreprises d’un espionnage qui semble tentaculaire.
D’un plus haut niveau sur ce point, était surtout attendue la réforme de la NSA annoncée par le Président Obama. Celui-ci avait reconnu que « ce genre de programme pourrait être utilisé pour obtenir davantage de renseignements sur nos vies privées, et ouvrir la voie à des programmes de collecte plus indiscrets» et nécessitait des « garde-fous ». Et avait ajouté que c’était « la raison pour laquelle [il donnait] l’ordre d’une transition qui mettra fin à la collecte de données (…) au terme de l’article 215» du Patriot Act.
Mais hélas son discours prononcé le 17 Janvier ne fait guère illusion. Certes, il n’y aura plus désormais d’ordonnance autorisant la « National Security Agency » à la collecte massive de données, mais la collecte se poursuivra. La NSA devra obtenir une autorisation de justice au cas par cas et le stock des données ne devrait plus être géré par une instance gouvernementale. Le Président des Etats-Unis a également insisté sur l’arrêt de l’espionnage des dirigeants des pays alliés ….
Convaincus ?… Bruxelles non plus. « Je suis encouragée par le fait que les citoyens non américains vont pouvoir bénéficier de protection contre l’espionnage, mais j’attends de voir ces engagements se concrétiser avec des lois » a commenté Mme Viviane Reding Vice-Présidente de la Commission européenne. « Nous voulons une protection des données”, a-t-elle ajouté…
Une chose reste sûre : outre son influence significative sur les législations à venir en matière de protection des données, Edward Snowden marquera une page des relations internationales et aura fortement encouragé le développement de nouveaux marchés sur la sécurisation des données !
Sources
CHAMPEAU (G.), « Piratage du câble Sea-Me-We 4 : Orange va porter plainte », numérama.com, mis en ligne le 30 /12/2013, consulté le 30/12/2013 ; et « Orange s’offre Athéos pour renforcer son offre de cyberdense », numéra.com, mis en ligne le 6/01/2014, consulté le 7/01/2014. Disponible sur
:http://www.numerama.com/magazine/27919-piratage-du-cable-se-me-we-4-orange-va-porter-plainte.html
CHICHEPORTICHE (O.), « Orange s’offre Athéos, spécialiste de la cyberdéfense » zdnet.fr, mis en ligne le 6/01/2014, consulté le 7/01/2014. Disponible sur
:http://www.zdnet.fr/actualites/orange-s-offre-atheos-specialiste-de-la-cyberdefense-39796730.htm
GUEUGNAUX (R.), « Orange se porte partie civile après le piratage d’un câble sous-marin », lesechos.fr, mis en ligne le 30/12/2013, consulté le 3/01/2014. Disponible sûr:
SANYAS (J.) « Espionnage de la NSA via un câble sous-marin : Orange réagit », pcinpact.com, mis en ligne le 30/12/2013 consulté le 03/01/2014. Disponible sur :
http://www.pcinpact.com/news/85134-espionnage-nsa-via-cable-sous-marin-orange-reagit.htm