Les Etats-Unis en capacité de déchiffrer les accès au site du ministère des armées

Mon ami Yann sur Facebook m’a alerté sur le fait que les données des ministères français seraient dans les mains de sociétés américaines soumises à la loi FISA et au Cloud Act. Avec ces lois, l’administration américaine peut à tout moment récupérer les données gérées par des FAI et des hébergeurs de droit américain, y compris lorsqu’elles sont stockées sur des serveurs basés en dehors du territoire américain.

Étudions, ministère par ministère, à l’aide de la commande nslookup. Pour le ministère des armées, la commande nous renvoie à l’adresse IPv4 107.154.115.47.

C:\Users\Administrateur>nslookup www.defense.gouv.fr

Nom : yookd.x.incapdns.net
Address: 107.154.115.47
Aliases: www.defense.gouv.fr

La Défense, fournisseur d’accès et déchiffrement… sous tutelle américaine

L’adresse Ip du site du ministère des armées est donc 107.154.115.47. Le fournisseur de cette adresse est une société de sécurité américaine, Imperva Incapsula. Le service proposé par cette société est de protéger les accès au site du ministère, en évitant les attaques de type DDoS. L’hébergement du site lui-même est très probablement effectué en France.

Accès au site du ministère des armées

Le pire de l’affaire n’est pas là. Le certificat SSL/TLS du ministère de la défense français est fourni par cette société américaine, Imperva, qui, du coup, est en capacité de déchiffrer tout le trafic à destination du site du ministère des armées. Le fait d’ailleurs qu’elle soit en charge de sécuriser les accès et en possession du certificat signifie qu’elle doit déchiffrer le trafic. Or, si Imperva le peut, la NSA le peut aussi, du fait que cette société de droit américain est soumise aux lois fédérales des États-Unis d’Amérique.

Certificat du site du ministère des armées

Accès aux sites du ministère de l’Intérieur, de l’Education, du gouvernement et des impôts

Difficile de dire si les sites du gouvernement et du ministère de l’Intérieur sont hébergés aux États-Unis ! En revanche, ce qui est certain, c’est que l’accès aux sites se fait à partir de FAI de la cote Est des États-Unis. Concernant les certificats de ce sites, ils sont gérés par les ministères et le gouvernement, au travers de prestataires français..

Pour l’Élysée, l’accès est sécurisé par Imperva Incapsula. Il passerait par la Hollande. Un comble pour Emmanuel Macron !  A voir, tout de même. Le certificat, quant à lui, est géré par Dhimyotis, une filiale du groupe Tessi.

Les bons élèves

Nous avons quand même de bons élèves parmi nos ministères :

Sécurité  / Déchiffrement