Les Etats-Unis en capacité de déchiffrer les accès au site du ministère des armées

Mon ami Yann sur Facebook m’a alerté sur le fait que les données des ministères français seraient dans les mains de sociétés américaines soumises à la loi FISA et au Cloud Act. Avec ces lois, l’administration américaine peut à tout moment récupérer les données gérées par des FAI et des hébergeurs de droit américain, y compris lorsqu’elles sont stockées sur des serveurs basés en dehors du territoire américain.

Étudions, ministère par ministère, à l’aide de la commande nslookup. Pour le ministère des armées, la commande nous renvoie à l’adresse IPv4 107.154.115.47.

C:\Users\Administrateur>nslookup www.defense.gouv.fr

Nom : yookd.x.incapdns.net
Address: 107.154.115.47
Aliases: www.defense.gouv.fr

La Défense, fournisseur d’accès et déchiffrement… sous tutelle américaine

L’adresse Ip du site du ministère des armées est donc 107.154.115.47. Le fournisseur de cette adresse est une société de sécurité américaine, Imperva Incapsula. Le service proposé par cette société est de protéger les accès au site du ministère, en évitant les attaques de type DDoS. L’hébergement du site lui-même est très probablement effectué en France.

Accès au site du ministère des armées

Le pire de l’affaire n’est pas là. Le certificat SSL/TLS du ministère de la défense français est fourni par cette société américaine, Imperva, qui, du coup, est en capacité de déchiffrer tout le trafic à destination du site du ministère des armées. Le fait d’ailleurs qu’elle soit en charge de sécuriser les accès et en possession du certificat signifie qu’elle doit déchiffrer le trafic. Or, si Imperva le peut, la NSA le peut aussi, du fait que cette société de droit américain est soumise aux lois fédérales des États-Unis d’Amérique.

Certificat du site du ministère des armées

Accès aux sites du ministère de l’Intérieur, de l’Education, du gouvernement et des impôts

Difficile de dire si les sites du gouvernement et du ministère de l’Intérieur sont hébergés aux États-Unis ! En revanche, ce qui est certain, c’est que l’accès aux sites se fait à partir de FAI de la cote Est des États-Unis. Concernant les certificats de ce sites, ils sont gérés par les ministères et le gouvernement, au travers de prestataires français..

Pour l’Élysée, l’accès est sécurisé par Imperva Incapsula. Il passerait par la Hollande. Un comble pour Emmanuel Macron !  A voir, tout de même. Le certificat, quant à lui, est géré par Dhimyotis, une filiale du groupe Tessi.

Les bons élèves

Nous avons quand même de bons élèves parmi nos ministères :

Sécurité  / Déchiffrement 

Commentaires

A mon avis, c’est plus compliqué que ça…

@Arnauld

Ah bon. Une entreprise sensée gérer les accès et disposant d’un certificat doit pouvoir déchiffrer le trafic. D’ailleurs, il est impossible, sans déchiffrer, de disposer de toutes les informations nécessaires à ladite protection. Je pense que les données de trafic entrant doivent être déchiffrées.

Après, si tu as des informations, je suis preneur.

Si cela s’avère exact, encore un scandale de plus. Moi ça ne m’étonne guère, un Gvt qui éborgne, censure etc. qui légifère sur tout (fermeture de « l’observatoire de la pauvreté » par ex. etc.) au lieu de s’attaquer aux vrais problèmes pour lequel ils sont payés et grassement…Plus rien ne m’étonne, encore moins l’incompétence. Il faut avoir des œillères pour ne pas constater que ttes nos données sont ou déjà ?

@Jean

C’est parfaitement exact. Pour autant, s’agit-il de données extra-sensibles ? J’espère juste qu’il n’y a pas d’accès Extranet et WebMail, à partir de ce point d’accès.

Pour les IP prétendument localisées sur la côté Est des USA, c’est sans doute la base db-ip qui contient des infos incorrectes. Ça se vérifie aisément en vérifiant le temps de réponse de ces IP.

La côté Est des USA, depuis la France, c’est grosso modo 12000 km aller retour. Avec un signal qui se déplace à 200000 km/s dans une fibre optique, l’aller-retour fait donc au strict minimum 60ms, sans compter le temps de traitement de tous les routeurs intermédiaires.

L’adresse 152.199.19.61 répond à une requête ping émise de Grenoble en à peine 8ms. Très peu chances que le serveur utilisant cette IP soit en dehors de France (même le site de mon FAI répond a un ping plus élevé !), aucune chance qu’il soit en dehors de l’Europe : ce serveur est forcément à moins de 800km (=4ms à 200000km/s) de fibre optique de chez moi.

Les adresses en 8.241 et 8.247 ne répondent pas au ping. Mais une requête HTTP vers http://8.241.17.124/ revient en erreur 404 en à peine 12ms d’après le moniteur réseau de mon navigateur. Là encore, aucune chance que le serveur soit localisé en dehors de l’Europe.

Il y a de nombreuses causes qui peuvent expliquer les erreurs de localisation de db-ip. En voici deux :
* les IP ont pu changer de localisation sans que la base n’ait été mise à jour (les informations sur les propriétaires semblent bonnes par contre, vus les résultats d’un traceroute),
* le propriétaire de ces IP n’a peut-être jamais renseigné correctement leur localisation (il n’y a strictement aucune obligation légale à le faire !) et s’est contenté de mettre la localisation de son siège social.

Et je peux constater par moi même le manque de fiabilité de ces bases de localisation IP. J’ai deux IP, une fournie par Orange, une par Free. La première est bien localisée à Grenoble (mais ce n’est pas toujours le cas, je suis en IP dynamique, et parfois j’obtiens des IP à plusieurs centaines de km de chez moi). L’autre, qui en plus est une IP fixe, est localisée à Clichy-sous-Bois, à plus de 500 km de chez moi…

@LFS

D’autres outils donnent les mêmes résultats (https://bgp.he.net/ip/152.199.20.7, https://stat.ripe.net/152.199.20.7, https://www.robtex.com/ip-lookup/152.199.20.7, etc). L’objet de l’article n’est pas là.

et le certificat expire dans quelques jours…

Désolé, les commentaires sont clos pour le moment.