Confidentialité

ICE confirme l'utilisation du logiciel espion Paragon Graphite sur les communications chiffrées

4 avril 20264 min de lecture

L'ICE confirme avoir utilisé le logiciel espion Paragon Graphite pour intercepter des communications chiffrées

L'agence américaine des services de l'immigration et du contrôle des douanes a confirmé avoir déployé le logiciel espion commercial de Paragon Solutions pour intercepter des communications chiffrées. Le directeur de l'ICE, Todd Lyons, a divulgué l'utilisation de l'outil Graphite de Paragon, le décrivant comme faisant partie des efforts de l'agence en matière de lutte contre le terrorisme et contre les stupéfiants. Cette confirmation constitue l'un des aveux publics les plus clairs d'une agence fédérale américaine quant à l'utilisation d'un logiciel espion commercial avancé pour surveiller des messageries chiffrées.

La divulgation a suscité de vives critiques de la part des démocrates à la Chambre des représentants, qui ont exprimé des inquiétudes quant à l'absence de supervision parlementaire régissant la manière dont l'outil a été acquis et déployé.

Qu'est-ce que Paragon Graphite et comment fonctionne-t-il ?

Paragon Solutions est une entreprise israélienne spécialisée dans les technologies de surveillance, qui vend ses produits exclusivement à des clients gouvernementaux. Son logiciel espion Graphite est conçu pour compromettre les appareils ciblés, donnant aux opérateurs accès à des communications qui seraient autrement protégées par un chiffrement de bout en bout.

Il s'agit d'une distinction technique essentielle. Graphite ne compromet pas les protocoles de chiffrement eux-mêmes. Il opère plutôt au niveau de l'appareil, en accédant aux messages après qu'ils ont été déchiffrés sur le téléphone ou l'ordinateur du destinataire ou de l'expéditeur. Une fois un appareil compromis, le logiciel espion peut lire les messages d'applications comme Signal, WhatsApp ou iMessage en clair, car il fonctionne à l'intérieur de l'appareil où le chiffrement a déjà été appliqué ou supprimé.

Cette approche est parfois qualifiée d'« attaque de point de terminaison », et elle est spécifiquement conçue pour contourner les garanties de sécurité offertes par les applications de messagerie chiffrée. Le chiffrement lui-même demeure intact ; ce qui change, c'est qu'un attaquant obtient l'accès à l'appareil qui détient les clés.

Les préoccupations relatives à la supervision et la réponse du Congrès

Cette confirmation a relancé un débat plus large sur la manière dont les agences américaines chargées de l'application de la loi et de l'immigration acquièrent et utilisent des outils de surveillance commerciaux. La supervision parlementaire de l'acquisition de logiciels espions a été incohérente, et il n'existe actuellement aucune loi fédérale globale régissant la manière dont les agences nationales peuvent déployer des outils comme Graphite contre des cibles situées aux États-Unis.

Les démocrates à la Chambre qui ont critiqué le déploiement de l'ICE ont pointé spécifiquement l'absence de toute divulgation formelle au Congrès avant que l'outil soit mis en service. Cette lacune est importante car elle laisse les représentants élus, et par extension le public, avec une capacité limitée d'évaluer si les décisions de déploiement sont appropriées, proportionnées ou juridiquement fondées.

L'affaire Paragon Graphite n'est pas isolée. Des reportages publiés ces dernières années ont révélé une utilisation extensive de logiciels espions commerciaux, notamment Pegasus du groupe NSO, par des gouvernements du monde entier, parfois contre des journalistes, des militants et des opposants politiques. Bien que l'ICE ait présenté Graphite comme un outil destiné aux enquêtes sur des crimes graves, l'absence de mécanismes de supervision rend la vérification indépendante difficile.

Ce que cela signifie pour vous

Pour les utilisateurs ordinaires, cette confirmation soulève quelques points importants qu'il convient de bien comprendre.

Premièrement, les applications de messagerie chiffrée restent efficaces pour ce qu'elles sont conçues à faire. L'existence de logiciels espions opérant au niveau des appareils, comme Graphite, ne signifie pas que le chiffrement est compromis ou que la messagerie sécurisée est inutile. Pour la grande majorité des gens, un chiffrement robuste continue d'offrir une protection significative.

Deuxièmement, le modèle de menace que représentent des outils comme Graphite est limité mais sérieux. Ces outils sont coûteux, nécessitent des ressources considérables pour être déployés, et sont généralement utilisés contre des cibles spécifiques plutôt qu'à des fins de surveillance de masse. Si vous ne faites pas l'objet d'une enquête gouvernementale ciblée, le risque direct lié à un logiciel espion de type Graphite est faible.

Troisièmement, étant donné que Graphite opère au niveau de l'appareil plutôt qu'au niveau du réseau, les outils de protection de la vie privée basés sur le réseau n'offrent aucune protection contre lui une fois qu'un appareil a été compromis. Comprendre les véritables limites techniques de tout outil de protection de la vie privée est essentiel pour prendre des décisions éclairées concernant votre propre posture de sécurité.

Ce qui importe véritablement de manière générale, c'est la question de la supervision. Lorsque des outils de surveillance puissants sont utilisés sans cadres juridiques clairs ni contrôle parlementaire, la responsabilisation devient difficile, quelle que soit la justification invoquée.

Points essentiels

L'ICE a confirmé avoir utilisé le logiciel espion Graphite de Paragon pour intercepter des communications chiffrées, présentant ce déploiement comme relevant de la lutte contre le terrorisme et contre les stupéfiants.
Graphite fonctionne en compromettant les appareils, et non en brisant les protocoles de chiffrement. Il lit les messages après leur déchiffrement sur l'appareil cible.
Les démocrates à la Chambre ont exprimé des inquiétudes quant à l'absence de supervision parlementaire concernant la manière dont l'ICE a acquis et déployé l'outil, et à quel moment.
Les applications de messagerie chiffrée restent efficaces pour un usage général. Un logiciel espion comme Graphite est un outil ciblé, et non un filet de surveillance à grande échelle.
La question politique centrale soulevée par cette divulgation n'est pas de savoir si le chiffrement fonctionne, mais si des garde-fous juridiques suffisants existent pour régir la manière dont les agences américaines utilisent des logiciels espions commerciaux contre des personnes se trouvant sur le territoire national.

À mesure que davantage de détails sur l'utilisation de Graphite par l'ICE émergent à travers les enquêtes parlementaires et les reportages d'investigation, le débat sur la supervision des logiciels espions à usage domestique ne risque pas de s'apaiser. Rester informé sur le fonctionnement de ces outils, et sur les cadres juridiques qui les régissent ou non, est la réponse la plus sensée disponible pour quiconque suit cette affaire.

// FAQ

Qu'est-ce que Paragon Graphite et qui le fabrique ?

Paragon Graphite est un logiciel espion commercial développé par Paragon Solutions, une entreprise israélienne spécialisée dans les technologies de surveillance. La société vend ses produits exclusivement à des clients gouvernementaux.

Comment Paragon Graphite contourne-t-il les applications de messagerie chiffrée comme Signal ou WhatsApp ?

Graphite ne compromet pas directement les protocoles de chiffrement ; il compromet plutôt l'appareil cible et lit les messages après qu'ils ont déjà été déchiffrés sur l'appareil. Cette approche est connue sous le nom d'attaque de point de terminaison.

Pour quelle raison l'ICE a-t-il déclaré avoir utilisé le logiciel espion Graphite ?

Le directeur de l'ICE, Todd Lyons, a décrit l'utilisation de Graphite comme faisant partie des efforts de l'agence en matière de lutte contre le terrorisme et contre les stupéfiants.

Quelles préoccupations les démocrates à la Chambre ont-ils soulevées concernant l'utilisation de Graphite par l'ICE ?

Les démocrates à la Chambre ont critiqué l'absence de supervision parlementaire régissant la manière dont l'outil a été acquis et déployé, pointant spécifiquement l'absence de toute divulgation formelle au Congrès avant que l'outil soit mis en service.

Existe-t-il une loi fédérale régissant la manière dont les agences nationales peuvent utiliser des logiciels espions comme Graphite ?

Non, il n'existe actuellement aucune loi fédérale globale régissant la manière dont les agences nationales peuvent déployer des outils de surveillance commerciaux comme Graphite contre des cibles situées aux États-Unis.