Préambule : Voici un article intéressant que j’ai repris du site Linux France sous la licence Creative Commons CC-BY SA.

Mis en ligne le 05/08/2014

« En 1988, le journaliste Duncan Campbel révèla l’existence d’un programme de renseignement, Echelon, dans un article pour The New Statesman qui s’intitulait « Somebody’s listening« . En 1996, c’était le journaliste néo-zélandais Nicky Hager qui publiait « Secret power » sur l’implication de son pays dans le programme. En 1999, suite à une demande du Parlement Européen, Duncan Campbell rend un rapport intitulé « Interception capabilities 2000 » pour le STOA (Science and Technology Options Assessment du Parlement Européen — traduction française disponible sous le titre « surveillance éléctronique planétaire » aux éditions Allia).

Pour rappel, le projet Echelon désignait un système mondial d’interception SIGINT via les satellites, et regroupant les États-Unis (NSA), le Royaume-Uni (GCHQ), le Canada (CSTC), l’Australie (DSD) et la Nouvelle-Zélande (GCSB) dans le cadre du traité UKUSA.

Pour ne pas rester derrière, la France a rapidement mis en route un projet similaire, surnommé « frenchelon« .

Ce qui nous amène à…

Edward Snowden. Cet (ex-)analyste de la CIA et de la NSA décide d’alerter l’ensemble de la planète sur les capacités d’écoute et d’interception des États-unis et de ses alliés. Nous n’allons pas nous étendre là-dessus. Vous pouvez lire cette histoire un peu partout autour de vous.

Fin 2013, ne trouvant aucune base de données des différents programmes, La Quadrature du Net commence grâce à quelques bénévoles le site nsa-observer.net qui regroupe l’ensemble des programmes de la NSA et du GCHQ provenant des fuites de Snowden.

Premier tour d’horizon

Même si l’immense majorité des programmes est sous l’égide de la NSA (National Security Agency) et donc des États-unis, certains programmes viennent d’autres pays (en particulier du Royaume-uni via le GCHQ). La NSA classe ses pays partenaires en 3 grandes familles :

  • Five Eyes (FVEY / AUSCANNZUKUS)
    • États-unis (indicatif pays : USA – agence : NSA),
    • Royaumes-unis (indicatif pays : GBR – agence : GCHQ),
    • Nouvelle-Zélande (indicatif pays : NZL – agence : GCSB),
    • Canada (indicatif pays : CAN – agence : CSEC),
    • Australie (indicatif pays : AUS – agence : ASD).
  • Nine Eyes : consiste aux Five Eyes avec en plus : le Danemark, la France, les Pays-bas et la Norvége.
  • Fourteen Eyes (SSEUR – Sigint Senior EURope) : consiste aux Nine Eyes avec en plus l’Allemagne, la Belgique, l’Italie, l’Espagne et la Suède.

La collecte de données

Les services récupèrent tout ce qu’ils peuvent, c’est à dire dans le désordre :

Tout ce que vous faites avec un navigateur (sans oublier sa version, la langue, les plugins installés…), les flux voix (VoIP, GSM, téléphone fixe…), fax, emails, chats (MSN-like, Jabber…), vidéos (que ce soit en provenance de youtube, de skype,…), photos, fichiers (en transferts, stockés, …), DNI (Digital Network Intelligence), DNR, empreintes des réseaux wifi (cf. VICTORY DANCE en dessous), activités sur les réseaux sociaux, détails des comptes google/yahoo/outlook…), et j’en passe.

Pour faire simple, tout ce que vous faites laisse forcément des traces quelque part. Et c’est ce qu’ils cherchent, collectent, et parfois stockent. Voici donc la première partie de ce tour d’horizon concernant quelques programmes de la NSA et du GCHQ.

  • UPSTREAM / TEMPORA / RAMPART-(x) aussi connu sous le nom de « ROOM641A« , le programme UPSTREAM a commencé en 2003, a été révélé en 2006 et consiste à la collecte via des « écoutes » sur les câbles de fibres optiques (oui, je simplifie énormément). Le projet UPSTREAM concerne la collecte sur l’ensemble des fibres optiques trans-océaniques, qui permettent l’acheminement des communications internationales, comme Internet, les appels, les sms…
  • UPSTREAM englobe beaucoup de sous-programmes qui correspondent à des régions du monde. Ils collectent différentes données (DNI, DNR, métadonnées, contenu, voix, fax…). Pour plus de détails sur UPSTREAM et ses sous-programmes, je vous conseille le blog electrospaces.
  • TEMPORA est l’équivalent d’UPSTREAM pour le Royaume-uni, et RAMPART l’équivalent en coopération via certains pays Européens.
  • PRISM est un accès direct aux serveurs de certaines compagnies américaines : Microsoft (+Skype), Yahoo, Google (+Youtube), Facebook, PalTalk, AOL, Apple… Ce programme permet de faire des requêtes concernant des personnes ou des groupes précis concernant les emails, les chats/vidéos, les photos, les données stockées (coucou le cloud), de la VoiP, etc etc. Il suffit de voir les différents services de ses compagnies pour avoir une idée de qu’ils peuvent avoir. PRISM est donc utilisé pour « cibler » quelqu’un en particulier.
  • MUSCULAR ce programme a fait beaucoup parler de lui quand il a été rendu public, et pour cause : il permet l’interception des données entre les datacenters de Google (et de Yahoo) ce qui permet entre autre d’éviter les connexion HTTPS clients/serveurs. Google a chiffré ses communications inter-datacenters depuis.
  • VICTORY DANCE coopération entre la CIA et la NSA au Yémen. Ils ont listé les empreintes wifi de presque toutes les grandes villes Yéménites via des drones (si vous ne voyez pas à quoi ça peut servir, cf. XKEYSCORE).

Je vous laisse vous rappeler ce que les Google Cars ont fait pendant un bon moment dans le reste du monde et ce que ça a pu devenir depuis…

  • MYSTIC MYSTIC est un ensemble de programme qui collecte des données (le plus souvent provenant des téléphones et/ou des GSM) dans certains pays. On peut ainsi noter ACIDWASH (qui a collecté entre 30 et 40 millions de métadonnées par jour en Afghanistan), DUSKPALLET (qui vise les GSM au Kenya), EVENINGWEASEL (wifi mexicain) et SOMALGET.
  • SOMALGET permet de « monitorer » les systèmes de télécommunications d’un pays (via des entreprises américaines implantées localement le plus souvent). Ce programme a visé les Bahamas (sans doute pour servir de test avant de passer à plus gros) puis l’Afghanistan où il a collecté et stocké TOUS les appels téléphoniques, aussi bien localement que vers l’international.

Mais que fait-on des données après ?

Voici justement quelques exemples.

Voici quelques exemples des possibilités de ce programme :

  • trouve moi tous les allemands (langue du navigateur) qui sont en Afghanistan (géolocalisation de l’IP) et qui ont été sur youporn et sur Facebook dans les dernières 24h.
  • marque comme « extrémiste » toutes les personnes (connexion IP) allant sur le site du projet Tor ou sur celui du projet Tails. Même chose si la source télécharge Tor.

Ne vous leurrez pas, ce dernier exemple est bel et bien réel, je vous laisse voir par vous même :

La NSA espionne aussi certains sites pornos

Et oui ! Et il parait que c’est pour la lutte contre le terrorisme (comme le reste quoi…) : par exemple pouvoir faire pression sur un intégriste musulman parce qu’il a été « vu » en train de regarder du porno.

Une cible ? Que peut-on faire ?

QUANTUM

Pour rediriger une cible vers un serveur FOXACID, la NSA réalise un Man-in-the-Middle (ou Man-on-the-Side) sur une connexion vers des serveurs de compagnies US (google (gmail), yahoo, linkedin..) grâce à l’emplacement de noeuds (TAO nodes) à des endroits clés sur le réseau (comprendre : « sur les dorsals de certains FAI »). La NSA utilise donc ses noeuds pour permettre des redirections à la volée vers les serveurs FOXACID, qui lanceront eux-mêmes différents types d’attaques selon la cible et les besoins.

Il existe beaucoup de sous-programmes pour QUANTUM, chacun vise quelque chose en particulier, comme QUANTUMBOT pour IRC, QUANTUMINSERT (implantation de malware – utilisé dans le hack de Belgacom), QUANTUMCOOKIE (force les cookies dans le navigateur ciblé), QUANTUMSPIM (messagerie instantanée, comme MSN ou XMPP)…

HUNT SYSADMINS

ATTENTION : j'ai volontairement fait au plus rapide en 
"coupant" la partie technique, merci de suivre les liens 
pour approfondir ! C'est TRÈS intéressant !

Je dois vous avouer que j’ai réellement hurlé en lisant les posts sur un forum interne d’un opérateur de la NSA qui s’intitule « hunt sysadmins« . Cet opérateur raconte que le meilleur moyen d’avoir accès à des informations est de « passer » par les administrateurs systèmes qui ont accès aux serveurs ou au routeurs (possibilité de mettre la main sur la topologie des réseaux, trouver des configurations, obtenir des accès, des emails…).

Il explique ainsi comment ils collectent PASSIVEMENT toutes les transmissions via le protocole telnet (programme DISCOROUTE). Oui, quand je parle de telnet je parle bien du protocole développé en 1968 (dans la RFC 15, c’est dire que c’est vieux !), absolument non sécurisé (aucun chiffrement), et qui est apparemment encore pas mal utilisé pour administrer des routeurs à distance.

Dude! Map all the networks!!!(l'opérateur de la NSA en question)

Il explique alors comment identifier un administrateur système, trouver son webmail et/ou son compte Facebook (oui oui) et de là utiliser la famille QUANTUM pour réaliser une attaque et avoir un accès à sa machine ET/OU au(x) routeur(s).

Et là, comme tout le monde, tu te dis « Moi j’utilise SSH \o/ »

Sauf qu’il explique AUSSI comment identifier une personne ayant accès à un serveur en SSH. Shorter : on peut deviner qui a vraiment accès à un serveur selon la taille des paquets qui passent et le temps de connexion.

Une fois la source (via l’IP) identifiée, vous pouvez voir (par exemple avec XKEYSCORE) les connexions à des webmails, Facebook (ou n’importe quoi qui peut l’identifier), et là, PAN ! Tu peux le QUANTUM-ifier \o/

Et il termine gentiment sur le pourquoi et comment prendre la main sur un routeur (fort instructif aussi).

ATTENTION : encore une fois, TOUT le document est disponible en ligne, je vous conseille GRANDEMENT la lecture (et c’est obligatoire si vous êtes sysadmins ;-)).

INTERDICTION

C’est tout simplement la possibilité pour la NSA d’intercepter un colis (comme l’ordinateur que vous venez de commander en ligne), d’installer ce qu’ils veulent dessus (comme un firmware persistant dans le BIOS, un composant permettant à un appareil de la famille d’ANGRYNEIGHBOR (qui porte toujours aussi bien son nom) de fonctionner…).

Il suffit de jeter un coup d’oeil au catalogue pour avoir une idée de ce qu’ils peuvent faire.

Et pour finir

"le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent 
sans rien faire." (Albert Einstein)

Je pense qu’après ce tour d’horizon rapide (il y a plus de 400 programmes sur nsa-observer.net), tout le monde aura compris que cette voie est dangereuse. Il est impossible de prévoir qui décidera de son utilisation demain, ni même aujourd’hui.

Nous ne pouvons pas faire confiance aux gouvernements et encore moins aux entreprises pour assurer notre sécurité et notre vie privée.

Nous pouvons, par contre, nous appuyer sur la société civile (comme l’EFF (eff.org) ou La Quadrature du Net, les lanceurs d’alerte (comme Chelsea Manning ou Edward Snowden) et sur des outils qui ne nous trahiront pas, comme les logiciels libres.

La cryptographie fonctionne ! Et c’est une des nouvelles importantes de ces révélations. Il existe des tutoriaux partout sur le net pour se mettre à chiffrer ses communications. Je vous laisse aller voir OTR pour Jabber (messagerie instantanée), SSL/TLS pour à peu près tout (mails, chat,…), GPG (qui demande un niveau technique un peu supérieur), Tor, et surtout, surtout, je vous invite à venir à des cryptoparty / café vie privée pour apprendre à s’en servir 🙂

© Skhaen — Licence CC BY:SA (sauf mention contraire)

Sources:

Note: Les passages originaux sont en italiques, les autres en caractère normal.

tempus leo quis, elementum sed fringilla
Share This