En cybersécurité, une porte dérobée (ou backdoor) est une ouverture laissée dans un logiciel permettant d’y retourner après sa conception. Elle peut être créée consciemment par les développeurs ou résulter d’erreurs de conception.

Théoriquement, une porte dérobée, c’est comme une porte normale : on la construit en même temps que le reste de l’édifice. En informatique, une backdoor est soit créée consciemment par les développeurs, soit à la suite d’erreurs de conception. Dans ces cas-là, on les découvre souvent après la sortie du système. Mais avec l’essor de logiciels malveillants comme les chevaux de Troie, il est aussi possible d’ouvrir des portes dérobées après coup, en exploitant des vulnérabilités.

Pourquoi des développeurs créeraient-ils des portes dérobées ? 

Pour des raisons tout à fait légitimes : les portes dérobées servent, par exemple, à réaliser des actions de maintenance à distance. Les problèmes apparaissent lorsqu’elles existent sans que les constructeurs ou les utilisateurs ne le sachent, ou quand leur usage premier est détourné à des fins malveillantes.

Les développeurs peuvent créer des backdoors pour des raisons légitimes. // Source : Pexels/Oluwaseun Duncan (photo recadrée)
Les développeurs peuvent créer des backdoors pour des raisons légitimes. // Source : Pexels/Oluwaseun Duncan (photo recadrée)

À quoi servent les backdoors ?

Ce type d’accès est très utilisé par les forces de police et de renseignements, pour lutter contre la criminalité et le terrorisme. C’est la raison pour laquelle des gouvernants demandent régulièrement à ce que des backdoors soient implantées pour eux dans les systèmes informatiques les plus utilisés. Si, en 2006, Windows discutait d’une telle possibilité avec le gouvernement britannique, l’idée a été fermement rejetée par son concurrent Apple, dix ans plus tard. L’ONU elle-même s’est exprimée en 2015 pour rejeter de tels projets, estimant qu’inclure des backdoors au bénéfice des gouvernements mettait à risque toutes les autres libertés (vie privée et liberté d’expression en tête).

En France, une telle perspective a aussi été récusée par Axelle Lemaire, alors secrétaire d’État au numérique, en 2016, au motif que cela créerait une « vulnérabilité by design ». Quatre ans plus tard, les accusations portées par les États-Unis contre Huawei ont bien illustré l’ambivalence de ce type d’outil : le gouvernement américain a accusé le constructeur chinois de détourner des backdoors « officielles », c’est-à-dire demandées par l’État.

Quoi qu’il en soit, les backdoors sont généralement considérées comme des vulnérabilités pour une raison simple : si vous ne savez pas que vos outils informatiques présentent des portes dérobées, mais que celles-ci sont connues par des tiers, alors ces derniers peuvent les emprunter pour vous espionner, manipuler vos fichiers, récupérer vos données, etc.

Les portes dérobées sont-elles forcément secrètes ? 

Si vous voulez exploiter une backdoor pour espionner ou réaliser des actes criminels, il vaut mieux qu’elle soit secrète — pour éviter de se faire pincer. Voilà pour le raisonnement le plus logique. Mais dans ce domaine, la notion de secret est un peu variable : tant qu’une faille n’est pas corrigée, par exemple, il est possible que des malfaiteurs la réutilisent. C’est arrivé avec une backdoor créée par la NSA puis détournée par des tiers, par exemple. C’est l’une des raisons pour laquelle l’une des bonnes pratiques de cybersécurité consiste à mettre à jour ses systèmes : parmi les évolutions que propose chaque nouvelle version de telle ou telle application, il y a la correction de failles informatiques, parmi lesquelles, de temps en temps, la fermeture de portes dérobées.

Où sont cachées les backdoors ?

On peut en trouver dans à peu près tous les équipements numériques. Récemment, des analystes en ont repéré une dans les téléphones Xiaomi, qui permettait d’espionner leurs utilisateurs. La société de cybersécurité Kaspersky en signale une baptisée ShadowPad, utilisée pour prendre le contrôle de systèmes industriels en Afghanistan, en Malaisie et au Pakistan. En mars 2022, Proofpoint en a trouvé une autre, Serpent, utilisée pour attaquer des entreprises françaises. Au fil des années passées, des backdoors ont aussi été repérées dans des caméras connectées, des smartphones ou des puces électroniques.