NSA : « Yes we scan »

NSA : « Yes we scan »

On le savait depuis Echelon. Le lanceur d'alertes Snowden l'a confirmé avec des révélations qui ne font que commencer (plus de 95% des documents restent a étudier). Bref, la NSA collecte massivement des informations à des fins politiques, économiques et de sureté nationale. Comment pratique t-elle concrètement ? Explications et questions avec deux analystes. 

A l'occasion de la conférence tenue hier (2 juillet 2014)  « Snowden et la NSA un an plus tard », le cabinet LEXSI, spécialisé en cybersécurité a livré par la voix de deux experts des informations révélatrices de l'influence croissante de l'agence américaine. Thibault Gadiolet et Vincent Hinderer ont expliqué concrètement comment la NSA « travaillait » en fonction de différents environnements : usine de fabrication d'équipements de sécurité, transport et livraison de ces équipements, utilisateurs (privé ou professionnel), opérateurs Internet (ISP), infrastructure Internet (satellite, câble sous-marins..) logiciels et applications. 

 

Activité de la NSA et usine de fabrication :

Des backdoors sont installés directement dans les équipements jugés « stratégiques » routeurs, firewalls, serveurs de clés.... Des firmes telles que Cisco (lire article : http://www.cyberisques.com/fr/mots-cles-34-buisness-risk/283-cisco-s-inquiete-des-pratiques-de-la-nsa ) Actel, Huawei, Barracuda... en ont fait les frais. A noter que l'implantation de ces codes malicieux (malwares, chevaux de Troie) peut se faire au niveau BIOS (sous couche des systèmes d'exploitation des machines) ou directement sur les logiciels.

Questions : Combien d'équipement sont touchés par ces backdoors NSA ? Quelles entreprises en font les frais ? Les équipements concernant les systèmes industriels SCADA sont ils impliqués également ?(lire :http://www.cyberisques.com/fr/component/content/article/92-categorie-2/sous-categorie-2-3/301-scada-nouvel-enjeu-pour-les-acteurs-de-la-cyber-securite )

 

Activité de la NSA et transport :

Là encore l'agence américaine s’intéresserait selon les deux experts de LEXSI à des opérations d'interceptions (avec des équipes en charge du piratage nommées TAO) via des services de transport et livraison souvent d'origine US : UPS, FEDEX, TNT, DHL... Il est intéressant de noter que ces interceptions sur ces équipements sont réalisées en connaissant les destinataires puisque les équipements se trouvent en phase de livraison. Il s'agit d'opérations "ciblées".  

Questions : Combien et quels types d'équipements sensibles livrés à des entreprises soucieuses de leur sécurité ont été « piratés » avant leur livraison ? On pense notamment à des serveurs de clés ce qui permettrait à la NSA de compromettre la sécurité de documents chiffrés en utilisant ces clés ?

 

Activité de la NSA et utilisateurs « cible » :

La NSA recense dans un catalogue ANT l'ensemble des pièces utiles à l'espionnage des utilisateurs de PC, smartphones, tablettes, objets connectés... Les « cyber-gadgets » sont parfois intéressants. Ils vont du câble VGA capteur d'images écrans qu'il peut transmettre jusqu'à 8 miles (12 km) jusqu'à différents logiciels espions très efficaces (Cyclone, Hx9, Cottonmouth. ..)

Questions : Qui est réellement ciblé via ces « spy gadgets » ? Uniquement des terroristes voire cyber-terroristes ? Si ce n'est pas le cas, qui ? Particuliers ? Professionnels ? Managers ? Leaders d'opinions ? Qui les installe ? Comment ? Avec quel niveau d'autorisations accordées par qui ? 

 

Activité de la NSA et ISP (Internet services providers) :

Ce serait selon Thibault Gadiolet et Vincent Hinderer près de 4 milliards de métadonnées par jour qui seraient « écoutées » en interceptant le trafic de différents ISP et Telco (Opérateurs Télécom). Rien qu'en France, en 2012, la volumétrie des données sur écoute était estimée à 70 millions de données par mois. Là encore, ce sont des écoutes ciblées comme celles qui ont visé le trafic de Belgacom, opérateur belge situé à Bruxelles. Une capitale choisie aussi en raison de son rôle stratégique. Des décideurs européens y prennent chaque jour des décisions importantes pour l'avenir des européens et de milliers d'entreprises (avec les aménagements réglementaires propres à leurs marchés).

Questions : "Naivement", les deux analystes s'interrogent: est-ce que AT&T et Sprint, deux opérateurs nord américains qui exploitent les ¾ du trafic international d’Internet dans le monde « collaborent » avec la NSA ? Leur trafic ne peut laisser la NSA et d'autres agences spécialisées dans les écoutes indifférentes. Certes la volumétrie est colossale, mais les moyens aussi. La NSA, par exemple, s'est offert des "mainframes" parmi les plus puissants du monde et dotés des dernières technologies (déchiffrement à la volée et fonctionnement quantique notamment). Bref l'escalade technologique constitue le nerf de la guerre pour les "cyber-activités" des agences de renseignement partout dans le monde. Et celles qui ne seront pas "cyber-performantes" achèteront à d'autres des renseignements. A l'échelle des Etats, s'achemine t-on vers une forme de cyber-dépendance ? 

 

Activité de la NSA et infrastructure Internet :

Satellites et câbles sous-marins, nœuds Internet IXP et stations d'écoute, routeurs et stations relais... ces infrastructures comme à l'époque d'Echelon servent à « écouter » les trafic voix et données tout comme les infrastructures GSM et les antennes placées sur les toits des ambassades. Selon plusieurs sources, plus de 20 câbles sous-marins (soit un 1/10 eme du parc) sont susceptibles d'êtres « écoutés » par l'agence nord américaine (cas du câble SEA-ME-WE4).

Questions : Au delà des notions de vie privée et données personnelles, avec plus de la moitie de la population mondiale connectée sur le Net, ce ne sont plus seulement les entreprises qui sont écoutées mais l'ensemble de la planète via les réseaux sociaux. Dans ce contexte, "Big Brother" est il toujours une utopie de romancier ? La NSA et d'autres agences s'autorisent par leurs écoutes "sauvages" a écouter illégalement mais aussi a « casser » la eConfiance de milliards de personnes ? A terme, n'est ce pas Internet qui va se morceler en donnant naissance a une société numérique anxiogène ? Même avec Echelon, les écoutes téléphoniqes des années 60-90 touchaient peu de personnes comparées aux milliards d'écoutes et interceptions de données sur Internet pratiquées au niveau industriel par des "Cyber-Etats".  

 

Activité de la NSA et applications chiffrées :

Dotés de technologies d'avant-garde, la NSA dispose aussi d'un catalogue très complet de logiciels de chiffrement / déchiffrement. Il existe un projet "Bullrun" de 250 millions de dollars par an. Objectif : chercher a recenser des solutions techniques de déchiffrement partout dans le monde. Afin d'éviter des développements "non controlés", la NSA joue aussi la carte de l'influence auprès d'organisations internationales en charge de la normalisation de standards en matière de cryptographie. Les experts de LEXSI notent par exemple l'influence de la NSA auprès de l'organisme de normalisation NIST ( National Institute of Standards and Technology). La firme RSA aurait reçue 10 millions de dollars pour implémenter un produit « recommandé » par l'agence (Certaines sociétés telles que le finlandais F-Secure ont préféré renoncer a leur participation à la RSA conférence de 2014). Thibault Gadiolet et Vincent Hinderer relèvent que certaines sociétés ont été "enquêtées". La Justice leur a par exemple demandé de livrer des clés nécessaires pour déchiffrer des données "écoutées". Ces entreprises ont préféré se « saborder » plutôt que de répondre positivement à la Justice (Lavabit ? Truecrypt ?).

Questions : Quel est le niveau de connaissance en matière de cryptographie des experts de la NSA ? Sont-ils en mesure de "Tout" déchiffrer et sur quelles bases (volumétrie, temps) ? Le chiffrement constitue t-il une réelle réponse afin d'éviter les écoutes ? Où peuvent conduire les "tensions" entre fournisseurs de technologies d'origine nord américaines, chinoises, indiennes, israéliennes... avec d'autres fournisseurs "nationaux" ? Quels rôles vont jouer les régulateurs ? 

L'exploitation des données collectées et déchiffrées par la NSA concerne t-elle uniquement la lutte anti-terroriste ou anti narcotrafiquants ? Quel est le niveau d'étanchéité entre mission "officielles" et d'autres plus "officieuses" ? Le projet MYSTIC autorisé par la Justice américaine se basait lors de son lancement sur l'autorisation d'effectuer des écoutes aux Bahamas via des backdoors afin de « coincer » des narcotrafiquants. Il s'agissait d'une opération « classique » basée sur un profilage de cible. Aujourd'hui l'on sait que ce projet autorise légalement la NSA a écouter tout un pays, entreprises et particuliers, organisations et administrations. Un pays et bientôt plusieurs pourraient faire l'objet d'écoutes massives. C'est donc tout Internet et ses milliards d'adresses IP qui risque de se trouver sous le contrôle de la NSA et d'autres agences de "cyber-renseignement" . Face à cette situation, des projets alternatifs à Internet cherchent à se concrétiser. La Russie évoque le développement de son « propre » Internet tout comme la Chine. En Europe, le projet « Clean Pipe » de Deutsche Telekom annoncé en 2013 se met en place essentiellement en Allemagne. La stratégie européenne en matière de cyber-sécurité reste floue.

Au plan technologique, quelle entreprise dans le monde peut soutenir que les technologies numériques utilisées pour gérer son patrimoine numérique (en interne et chez ses fournisseurs)  sont "clean" ?

La cyber-sécurité serait-elle devenue un problème complexe pour les entreprises en raison du rôle joué par les agences de sécurité ? Paradoxe intéressant. Et les entreprises ne sont plus les seules concernées. Un jour viendra ou données personnelles et données professionnelles seront volontairement confondues. On pourra alors vous interdire de prendre un avion pour New-York si vos smartphones, tablettes et autres objets numériques ne sont pas chargés...  

 (lire notre sélection de liens dans la section BONUS ci-dessous)

Jean Philippe Bichard 

E. Snowden n'écarte pas un retour aux US: The Most Wanted Man in the World Edward Snowden in His Own Words http://t.co/Vj429Jfw5H

— @jpbichard (@JPBICHARD) 14 Août 2014 id=8539490&snapshotID=&authType=name&authToken=6DkY&ref=NUS&trk=NUS-body-member-name" target="_blank">Linked   @cyberisques

 

http://www.cyberisques.com/images/Bulletin-abonnement.png

 

 

 BONUS :

 http://projects.propublica.org/nsa-grid/

 http://www.computerweekly.com/feature/Interview-the-original-NSA-whistleblower?asrc=EM_MDN_31102713&utm_medium=EM&utm_source=MDN&utm_campaign=20140702_Microsoft%20under%20fire%20over%20disruptive%20anti-crime%20operation_

 http://www.cyberisques.com/fr/component/content/article/92-categorie-2/sous-categorie-2-3/301-scada-nouvel-enjeu-pour-les-acteurs-de-la-cyber-securite

http://mashable.com/2014/01/31/nsa-director-michael-rogers/

http://www.spiegel.de/international/world/catalog-reveals-nsa-has-back-doors-for-numerous-devices-a-940994.html

http://fr.ria.ru/world/20131103/199706757.html

http://www.01net.com/editorial/625470/icreach-le-moteur-de-recherche-secret-a-la-google-de-la-nsa/

http://tinyurl.com/nw8sp3r

ILLUSTRA-NSA-1

 http://www.zdnet.fr/actualites/accord-nsa-f-secure-boycotte-la-rsa-conference-usa-2014-39796597.htm

 http://www.01net.com/editorial/623000/la-nsa-avait-193-pays-sur-sa-liste-despionnage-plus-le-fmi-et-lunion-europeenne/

 http://www.lepoint.fr/high-tech-internet/espionnage-avec-mystic-la-nsa-a-mis-sur-ecoute-tout-un-pays-18-03-2014-1802807_47.php

 

https://firstlook.org/theintercept/article/2014/08/25/icreach-nsa-cia-secret-google-crisscross-proton/ 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires