Pour les articles homonymes, voirBull Run.

Bullrun est un programmeaméricain secret mis en œuvre par laNSA dont le but est de casser les systèmes de chiffrement utilisés dans les protocoles les plus répandus sur Internet, tels le Secure Sockets Layer (SSL), les réseaux privés virtuels (VPN) ou la voix sur IP (VoIP)^[1],[2]. L'équivalentbritannique s'appelleEdgehill^[1],[3]. L'existence du programme a été révélée en septembre 2013 parEdward Snowden^[4].

Pendant les années 1990, la NSA a perdu une bataille publique sur le droit d'insérer uneporte dérobée dans tous les outils logiciels dechiffrement des données. À partir de 2000, quand ils sont devenus de plus en plus couramment utilisés pour les échanges dans leWeb, elle a investi des milliards de dollars dans un programme de recherche destiné à maintenir ses capacités d'écoute^[5].

Surveillance par la NSA

Carte de la surveillance globale de la NSA

Données clés

Programmes Avant 1978 ECHELON MINARET SHAMROCK Depuis 1978 Upstream collection Blarney Fairview Main Core ThinThread Project Genoa Depuis 2001 OAKSTAR STORMBREW Trailblazer Turbulence (NSA) (en) Genoa II (en) Total Information Awareness (en) President's Surveillance Program (en) TSP Depuis 2007 PRISM Dropmire (en) Stateroom Bullrun MYSTIC MonsterMind (spéculatif) Bases de données, outils, etc. Pinwale (en) MARINA (base de données) (en) MAINWAY (en) TRAFFICTHIEF (en) Dishfire XKeyscore ICREACH Boundless Informant Collaboration avec leGCHQ Muscular Tempora   Lois Safe Streets Act Privacy Act of 1974 (en) FISA ECPA (en) Patriot Act Homeland Security Act (en) Protect America Act of 2007 (en) FISA Amendments Act of 2008   Institutions FISC Senate Select Committee on Intelligence Conseil de sécurité nationale   Poursuites ACLU v. NSA Hepting v. AT&T Jewel v. NSA Clapper v. Amnesty Klayman v. Obama ACLU v. Clapper Wikimedia v. NSA   Lanceurs d'alerte William Binney Thomas Drake Mark Klein Edward Snowden Thomas Tamm Russ Tice   Révélations NSA warrantless surveillance (2001–07) Révélations d'Edward Snowden   Divers Cablegate Surveillance des journalistes Surveillance des courriels Espionnage des diplomates de l'ONU Insider Threat Program Surveillance de masse aux États-Unis (en) Surveillance de masse au Royaume-Uni (en)   Concepts SIGINT Métadonnées   Collaboration Aux États-Unis CSS CYBERCOM DOJ FBI CIA DHS IAO Five Eyes (UKUSA) SCRS GCHQ ASD GCSB Autres DGSE BND

modifier

Le5 septembre 2013,The Guardian,The New York Times etProPublica révèlent, sur la base de documents fournis par Edward Snowden, que la NSA et le GCHQ sont capables de décoder l'essentiel des systèmes de chiffrement des communications sur internet, des systèmes utilisés chaque jour par des centaines de millions d'internautes pour protéger leurvie privée et par les entreprises pour sécuriser leurs échanges électroniques^[1],[5],[2].

Les trois médias expliquent que les méthodes utilisées par les agences de renseignement anglo-saxonnes incluent^[5],[6],[7] :

• des mesures pour s'assurer le contrôle sur l'établissement de normes américaines et internationales de chiffrement (NIST,normes ISO),
• la collaboration avec des entreprises technologiques pour intégrer — dès la conception — desportes dérobées dans leurs solutions de chiffrement (logiciels ou puces électroniques),
• la collaboration avec des fournisseurs de services Internet pour récupérer descertificats de chiffrement,
• l'investissement dans des ordinateurs à hautes performances,
• voire descyberattaques ou l'espionnage des sociétés pour leur voler leurs clés numériques.

The Guardian etThe New York Times indiquent que les agences ont déployé beaucoup d'efforts sur les principaux protocoles ou technologies utilisés dans Internet (HTTPS/SSL,VPN) ou la4G pour latéléphonie mobile, avec des avancées majeures en 2010, afin d'être capable d'intercepter et de déchiffrer en temps réel des volumes très importants de données qui circulent dans le réseau^[8],[1]. De plus, les journaux indiquent aussi les solutions de chiffrement et les communications liées àHotmail,Yahoo,Facebook et surtoutGoogle qui font l'objet d'analyses approfondies de la NSA^[1].

Par ailleurs, l'accès au programmeBullrun est limité à du personnel de haut niveau provenant des pays signataires deUKUSA. Les informations ne pouvant êtredécryptées avec la technologie actuelle peuvent être stockées indéfiniment, ce qui permet aux agences de continuer à travailler sur des méthodes decassage^[5].

À la suite de la publication de ces révélations, plusieurs experts supposent que la NSA exploite principalement desfailles identifiées dans l'implémentation des logiciels de chiffrement (Microsoft CryptoAPI,OpenSSL) plutôt que dans les algorithmes^{[9],[10],[11],[12]}.

Trois jours après ces révélations, le NIST recommandait fortement de ne plus utiliser son standard portant sur leDual Elliptic Curve Deterministic Random Bit Generator (en). Portant le nom de "Special Publication 800-90A", le NIST a ainsi repassé ce standard en statut "projet", six ans après l'avoir publié officiellement comme norme^[13].

Le20 septembre 2013, la sociétéRSA Security recommande officiellement de ne pas utiliser ses produits B-SAFE à la suite de l'installation d'uneporte dérobée dans le standard Dual_EC_DRBG par la NSA^[14],[15].

Le site webCryptome diffuse des copies des articles de presse ayant révélé l'existence de Bullrun^{[16],[17],[18]}.

• Révélations d'Edward Snowden
• Cryptographie
• Vie privée et informatique
• Surveillance globale

Autres programmes de surveillance révélés par Edward Snowden :

Commission d'enquête européenne à la suite des révélations d'Edward Snowden :

• Comité d'enquête sur la surveillance électronique de masse de citoyens de l'Union européenne

v ·m National Security Agency
Cadre	Législation Foreign Intelligence Surveillance Act (FISA) Executive Order 12333 PATRIOT Act FISA Amendments Act of 2008 (FAA) Supervision Senate Select Committee on Intelligence (SSCI) House Permanent Select Committee on Intelligence Foreign Intelligence Surveillance Court (FISC) Directeur Paul M. Nakasone
Missions	Renseignement d'origine électromagnétique (ROEM) Sécurité des systèmes d'information (SSI)
Installations	Fort George G. Meade Utah Data Center NSA/CSS Georgia NSA/CSS Texas (en) NSA/CSS Hawaii (en) RAF Menwith Hill Pine Gap Sugar Grove Station Complexe de Dagger Yakima Research Station (en)
Services	Global Access Operations (GAO) Tailored Access Operations (TAO) Special Source Operations (en) (SSO) Special Collection Service (SCS)
Renseignement	Venona Shamrock Regal Minaret Echelon Programme de surveillance électronique de la NSA Olympic Games PRISM XKeyscore Boundless Informant Bullrun Muscular ICREACH Room 641A
Sécurité	TEMPEST KL-7 KG-84 DES Skipjack Clipper SHA AES SELinux Perfect Citizen
Événements	Golfe du Tonkin USSLiberty USS Pueblo EC-121 KAL 007 Île d'Hainan
Fuites/Lanceurs d'alerte	William Weisband Défection de Martin et Mitchell Geoffrey Prime (en) John Walker Ronald Pelton (en) William Binney Mark Klein Thomas Drake Edward Snowden Thomas Tamm
Partenaires	Central Security Service (CSS) INSCOM US Fleet Cyber Command AF ISR Agency USMCDIRINT USCGCG-2D Autres partenaires américains Central Intelligence Agency (CIA) Federal Bureau of Investigation (FBI) US Cyber Command (CYBERCOM) Second parties (UKUSA) GCHQ CSTC ASD GCSB Third parties BND E-tjenesten FCR FRA NSO MİT Unité 8200 Chōbetsu

• Portail de la cryptologie
• Portail de la sécurité informatique
• Portail du renseignement
• Portail d’Internet
• Portail des États-Unis

• Espionnage
• Surveillance
• National Security Agency
• Edward Snowden

• Article contenant un appel à traduction en anglais
• Article utilisant une Infobox
• Portail:Cryptologie/Articles liés
• Portail:Informatique/Articles liés
• Portail:Sécurité informatique/Articles liés
• Portail:Sécurité de l'information/Articles liés
• Portail:Renseignement/Articles liés
• Portail:Internet/Articles liés
• Portail:Médias/Articles liés
• Portail:Société/Articles liés
• Portail:États-Unis/Articles liés
• Portail:Amérique/Articles liés
• Portail:Amérique du Nord/Articles liés