Un certain nombre d'outils de piratage et d'exploits ont été apparemment volé à la National Security Agency Américain
Les défenseurs de la vie privée ont profité de ce fait pour défendre la position d'Apple dans son différend avec le FBI plus tôt cette année.
La semaine dernière, des pirates auraient volé l'un des principaux outils d'espionnage de la NSA. Et selon de multiples sources, ils ont proposé de les vendre au plus offrant.
Le vol a été lié au "Equation Group", une équipe secrète de cyber-espions qui serait associée à la NSA et ses partenaires gouvernementaux. Le collectif de hackers qui a volé le malware a publié deux ensembles de fichiers. Ils incluent un échantillon gratuit des données volées, datant de 2013. Le deuxième fichier est crypté et sa clé a été mise en vente lors d'une vente aux enchères Bitcoin, bien que beaucoup aient vu ce mouvement comme un simple coup de fausse direction.
Toutefois, l'attaque semble être réelle, selon d'anciens membres de la NSA qui travaillaient dans la division de piratage de l'agence, connue sous le nom de Tailored Access Operations (TAO).
"Sans aucun doute, ce sont les clés du royaume", a déclaré un ancien employé du TAO dans des déclarations anonymes au Washington Post. "Les choses dont nous parlons seraient préjudiciables à la sécurité d'un grand nombre de grands réseaux d'entreprises et de gouvernements, ici et à l'étranger."
«C'est une excellente chose», a déclaré Dave Aitel, ancien chercheur scientifique de la NSA et PDG d'une société de test de sécurité. "Nous aimerions paniquer." Le site Web de Wikileaks a tweeté qu'il disposait également des données et qu'il les publierait «à l'époque».
Les nouvelles de la fuite ont été suivies de près par les entreprises de technologie, dont beaucoup ont été confrontées à des tentatives du Comité du renseignement du Sénat américain pour les forcer légalement à fournir une «assistance technique» aux enquêteurs du gouvernement à la recherche de données bloquées.
La tentative infructueuse de promulguer cette législation est intervenue après Apple a publiquement confronté le FBI à l'insistance de l'agence gouvernementale pour qu'il crée une «porte dérobée» pour votre iPhone, logiciel iOS.
Le FBI a affirmé qu'il avait besoin du logiciel pour pénétrer dans l'iPhone appartenant à Syed Farook, l'un des terroristes de l'attaque de décembre dernier à San Bernardino, en Californie. Apple a refusé de se conformer à l'ordonnance du tribunal, affirmant que cela réduirait la sécurité du cryptage des smartphones et pourrait tomber entre de mauvaises mains.
Maintenant, après qu'un fichier top-secret de certains des exploits de la NSA à cet égard a été divulgué, Les défenseurs de la vie privée justifient la position d'Apple.
Comment la fuite s'est produite
«La composante du gouvernement qui est censée être la meilleure pour garder les secrets, n'a pas réussi à garder ce secret», a déclaré Nate Cardozo, avocat principal de l'Electronic Frontier Foundation, à Business Insider.
La position de la NSA sur les vulnérabilités semble être basée sur le principe que les secrets ne viendront pas de là. Que personne ne découvrira jamais la même erreur, que personne n'utilisera la même erreur, qu'il n'y aura jamais de fuite. Nous savons que c'est un fait, qu'au moins dans ce cas, ce n'est pas vrai.
L'ancien scientifique de la NSA, Aitel, estime que il est fort probable que ces informations proviennent des installations de la NSA sur une clé USB, qui aurait pu être vendu ou volé. "Personne ne met ses exploits sur le serveur", a déclaré Aitel.
Une autre possibilité suggérée par la NSA est que la boîte à outils des logiciels malveillants a été volée à un "serveur de test" en dehors de la NSA. Cette position a également été citée par Edward Snowden, qui a ciblé la Russie comme principal suspect derrière la fuite.
Le devoir d'informer
Certains hackers ont également soulevé de nouvelles questions sur les aspects juridiques du piratage gouvernemental. Beaucoup de ses «exploits», y compris la fuite, n'ont jamais été portés à la connaissance des entreprises dont le matériel a été touché.
Un cadre politique appelé «Vulnerabilities Equities Process» (VEP) décrit comment et quand l'État doit signaler une vulnérabilité à une entreprise affectée si le risque de sécurité est supérieur au bénéfice qu'il peut produire.
Le FBI a signalé des failles de sécurité Apple dans les versions antérieures d'iOS et d'OS X sous le cadre VEP.
Cependant, Cardozo soutient que les règles sont "complètement enfreintes" parce que VEP est une politique non contraignante créée par l'administration Obama, et non un ordre exécutif ou une loi exécutoire.. "Nous avons besoin de règles, et pour le moment il n'y en a pas", a déclaré Cardozo.
