CloudSécurité

Tout sur l’arsenal secret des espions de la NSA

Edward_Snowden
48 0

Six mois de révélations incessantes. En se basant sur les documents dérobés par le lanceur d’alertes Edward Snowden, la presse mondiale a dévoilé l’ampleur des écoutes sur les communications électroniques de la NSA. Et fait entrer l’informatique mondiale, et particulièrement ses grands fournisseurs américains, dans une ère de soupçon généralisé. Silicon.fr revient sur les multiples capacités technologiques de l’agence américaine.

Au fil des révélations d’Edward Snowden, le grand public, mais aussi les professionnels de la sécurité parfois surpris par l’ampleur des moyens techniques mis en œuvre, découvrent l’étendue des écoutes de la NSA américaine. Acronyme de National Security Agency, cette agence dépendant du ministère de la Défense des Etats-Unis, est chargée du renseignement électromagnétique, de la sécurité des systèmes d’information et du traitement des données. Créée après la guerre, dans la continuité des efforts menés par les alliés pour décrypter les messages radio japonais et allemands, la NSA dispose aujourd’hui d’un budget de près de 11 milliards de dollars et emploierait environ 35 000 personnes.

Née dans le culte du secret – tant et si bien qu’elle a parfois été surnommée No Such Agency (une telle agence n’existe pas) ou Never Say Anything (ne dites jamais rien) -, l’agence de Fort Meade, dans le Maryland, avait certes déjà connu quelques scandales (notamment autour du programme d’écoutes Echelon révélé par le journaliste britannique Duncan Campbell à la fin des années 80), mais aucun d’une ampleur similaire à celui auquel elle fait face au cours de cette année 2013. La source de ce déluge de commentaires assassins ? Un ex-salarié d’un sous-traitant de la NSA, ayant travaillé comme administrateur système sur des bases de l’agence au Japon puis à Hawaï. C’est dans le cadre de ces fonctions que Snowden, héros pour les uns, traître pour les autres, a dérobé une quantité phénoménale de documents à l’agence américaine : un total de 1,7 million, finit par reconnaître la NSA. De très loin la fuite de données confidentielles la plus importante jamais subie par un service de renseignement américain.

[Chaque jour, suivez l’actualité des nouvelles technologies : abonnez-vous à la newsletter de Silicon.fr]

Après avoir pris contact avec deux journalistes (Gleen Greenwald et Laura Poitras) à Hong Kong, le lanceur d’alertes de 30 ans se réfugie en Russie. Et les révélations commencent à sortir, dans divers quotidiens de la presse mondiale avec lesquels collaborent les deux journalistes. Le 5 juin, un premier article pointe le système d’espionnage massif des appels téléphoniques sur le réseau de l’opérateur Verizon. Mais c’est le lendemain que commencent réellement les révélations les plus embarrassantes pour les industriels high tech américains : le Washington Post et le Guardian révèlent l’existence de Prism, programme d’écoutes des communications Internet via des accès direct aux données hébergées par Google, Microsoft, Yahoo, Apple, Skype. Entre autres. Un outil de lutte antiterroriste, assurent les autorités américaines.

[Connaissez bien Edward Snowden ? Pour le vérifier, répondez à notre quiz]

Hors des Etats-Unis, le malaise est palpable, notamment du côté des entreprises qui confient leurs données à ces sociétés américaines. Illico, les industriels concernés nient toute porte dérobée ou accès direct à leurs serveurs. On apprendra plus tard que, via le programme Muscular, la NSA écoute les communications non chiffrées qui transitent entre les datacenters de Google et Yahoo. Les deux sociétés ont depuis annoncé qu’elles allaient crypter toutes les données échangées entre leurs centres de données.

Pour plus de détails, lire :

– Surveillance « Made in NSA » : Google monte au créneau
– Prism : les parades des entreprises IT pour se protéger des écoutes
– La NSA intercepte les données de Google et Yahoo!
– Edward Snowden : « mission accomplie »

A l’origine d’un véritable choc dans le grand public et dans les entreprises, Prism n’est pourtant que le premier programme d’une longue série à être mis en évidence par les documents d’Edward Snowden. Suivent notamment des détails sur les capacités d’analyse des données collectées par la NSA, via Boundless Informant (sorte de tableau de bord renseignant l’agence sur les volumes de données collectées en temps réel) ou Xkeyscore (outil de recherche sur l’ensemble des activités en ligne d’un internaute).

Car, la collecte d’importants volumes de données suppose, en aval, la mise sur pied d’un véritable arsenal pour stocker, ordonner et analyser cette masse d’informations. Un défi considérable, de nombreuses organisations étant aujourd’hui noyées sous le déluge de données que produit la société de l’information.

Pour plus de détails, lire :

– Xkeystore, le redoutable outil d’espionnage de PRISM
– Prism : le plus grand datacenter de la NSA est en panne

D’autres révélations suivront, pour certaines spectaculaires dans ce qu’elles révèlent des capacités techniques de la NSA (si tant est que l’agence est bien en mesure de mettre en oeuvre les procédés décrits par les documents Snowden). Fin juin, le Guardian met au jour le programme Tempora, fruit de la coopération de l’agence américaine avec son homologue britannique GCHQ. Ce programme, mis en oeuvre fin 2011, permet aux espions de puiser les données directement dans les câbles en fibre optique reliant l’Europe aux Etats-Unis et transitant par le Royaume-Uni. Selon les documents récupérés par Edward Snowden, plus de 200 câbles sont concernés.

[Suivre Silicon.fr sur les smartphones et tablettes : application pour Android, iPhone et iPad et Windows Phone]

Quelques semaines plus tard, la presse révèle la tentative d’intrusion de la NSA sur les réseaux informatiques du consortium gérant le câble SEA-ME-WE4, qui relie la France (son point de départ est Marseille) à l’Afrique du Nord, au Moyen-Orient, à l’Asie et à l’Océanie. Orange, membre du consortium, s’est porté partie civile dans cette affaire.

Pour plus de détails, lire :

– Piratage du câble sous-marin : le pétard mouillé qui met le feu à la presse française
– L’espionnage du Cloud révèle le rôle central des câbles transatlantiques

La moisson de données que pratique la NSA s’étend aussi aux téléphones mobiles, les données de géolocalisation de centaines de millions de mobiles ainsi que d’importantes quantités de SMS (200 millions par jour en 2011, selon The Guardian) étant stockées par l’agence.

Plus inquiétant encore pour les entreprises : début septembre 2013, Edward Snowden met au jour le programme Bullrun, et son équivalent britannique Edgehill (révélant une fois de plus la proximité du GCHQ et de la NSA). Ces programmes au long cours visent à rendre le cryptage inopérant. En plus d’utiliser la « force brute » (la puissance de calcul de supercalculateurs), les agences d’espionnage exploitent des failles dans l’implémentation des outils de chiffrement, ont obtenu la collaboration d’éditeur de logiciels spécialisés ou de fournisseurs d’accès (pour récupérer des certificats de chiffrement) et ont recours à des méthodes visant à pervertir les normes de cryptage. C’est ainsi qu’un des principaux éditeurs d’outils de cryptage – RSA, une division du groupe EMC – est contraint de prévenir ses clients que l’algorithme par défaut de son produit BSafe contient probablement une backdoor (une faiblesse intrinsèque). La NSA avait participé à la conception dudit algorithme, ensuite validé par l’institut américain des standards (National Institute of Standards and Technology, NIST).

[Chaque jour, suivez l’actualité des nouvelles technologies : abonnez-vous à la newsletter de Silicon.fr]

Quelques mois plus tard, la gêne devient palpable chez RSA quand Reuters dévoile que la société bénéficiait d’un contrat de 10 millions de dollars avec l’agence américaine. Selon l’agence de presse, ce contrat visait à affaiblir l’efficacité des outils de chiffrement proposés par la société. Un objectif que RSA dément. Cette proximité vaut à la société quelques déboires : plusieurs conférenciers annulent leur participation à la RSA Conférence. Mykko Hyppönen, responsable de la recherche de l’éditeur finlandais F-Secure, initie le mouvement de grogne.

Pour plus de détails, lire :

– 200 millions de SMS quotidiens sous l’œil de la NSA
– La NSA traque les données de géolocalisation des smartphones
– NSA et GCHQ décodent les communications chiffrées sur Internet
– La NSA construit un supercalculateur quantique pour casser le cryptage
– Prism : RSA pense qu’un de ses algorithmes de cryptage contient une backdoor
– Cyberespionnage : RSA et NSA main dans la main ?

Si la NSA dispose de moyens ‘industriels’ d’écoute, lui permettant de récolter de grandes masses d’information au fil de l’eau, elle possède aussi des capacités d’infiltration plus ciblées. A quelques heures du nouvel an, de nouveaux documents récupérés par Edward Snowden et publiés par Der Spiegel montrent que la NSA possède un groupe pour les opérations spéciales électroniques (Tailored Access Operations), s’appuyant sur une division spécialisée dans la découverte (ou l’achat ?) de failles. Cette dernière – baptisée ANT – met et à la disposition de ses « clients » internes de la NSA des techniques, répertoriées dans un véritable catalogue de services, leur permettant de monter les opérations d’espionnage de l’agence. Routeurs et firewalls (notamment ceux de Juniper, Huawei et, dans une moindre mesure, Cisco), serveurs, disques durs, smartphones, infrastructures de réseaux mobiles ou sans fil. Tout y passe. Selon une carte publiée par un journal néerlandais, document transmis par Edward Snowden, la NSA avait, en 2008, pénétré plus de 50 000 réseaux dans le monde, via des malwares ou l’exploitation de vulnérabilités.

[Connaissez bien Edward Snowden ? Pour le vérifier, répondez à notre quiz]

Début janvier, le New York Times dévoilait aussi que l’agence a implanté un système espion dans près de 100 000 ordinateurs répartis dans le monde. Cette faille intrinsèque permet à la NSA d’écouter ces machines et lui fournit également un vecteur d’attaque quand elle veut pénétrer sur les réseaux des organisations où ont été placées ces machines vérolées. L’agence utilise une technique reposant sur des transmissions par ondes radio, assurées par un circuit dédié implanté dans un connecteur USB ou au sein même de l’ordinateur.

Pour plus de détails, lire :

– NSA : les matériels Cisco, Juniper et Huawei transformés en passoire
– NSA : backdoors à gogo pour affaiblir les disques durs et les serveurs
– La NSA, éditeur de spywares pour téléphones mobiles
– Gérôme Billois, Solucom : « La NSA a une des meilleures DSI au monde »

C’est d’ailleurs une de ces opérations spéciales qui provoquera les réactions les plus importantes en Europe. Alors que l’espionnage de grands dirigeants de la planète – dont celui d’Angela Merkel -, des grands événements internationaux – comme le G20 de Londres -, d’institutions comme l‘ONU ou l’AIEA (Agence internationale de l’énergie atomique) ou encore de la diplomatie française ne provoquent que de molles protestations – probablement en raison des accords de coopération entre les pays occidentaux et les Etats-Unis sur de l’échange de renseignements (c’est le cas des services français) -, les révélations de Snowden et l’espionnage de Belgacom provoquent des remous parmi les institutions européennes (voir en vidéo ci-dessous, la réaction de Gilles Babinet, Digital Champion français auprès de la Commission européenne). Plusieurs révélations, notamment publiées par Der Spiegel, montrent que l’Union européenne est une cible prioritaire de la NSA, notamment sur les sujets de politique étrangère, de commerce international et de stabilité économique.

Le piratage de Belgacom, qui est également le prestataire de la Commission européenne, du Conseil de l’Europe et du Parlement européen, met également en émoi les institutions du Vieux Continent. La NSA, avec la complicité du GCHQ, est parvenue à s’introduire sur le réseau de l’opérateur belge en trompant certains de ses employés avec de fausses pages LinkedIn. Belgacom a indiqué que le malware utilisé par la suite était extrêmement complexe et avait requis des ressources financières et humaines qui ne sont pas à la portée d’organisations privées ou de hackers isolés.

Les premières versions du rapport d’enquête de la Commission des libertés civiles, de la justice et des affaires intérieures du Parlement européen montrent un durcissement de ton vis-à-vis de l’allié américain. Ce rapport préconise en effet une action déterminée de l’UE, notamment une révision des traités transatlantiques portant sur l’échange de données, un soutien au développement d’une industrie IT européenne indépendante des Etats-Unis (via le levier de la commande publique) ou encore le renforcement des exigences de sécurité des données imposées aux opérateurs télécoms et aux services Cloud. Surtout, ce rapport écarte la seule motivation de la lutte anti-terroriste pour expliquer l’ampleur des écoutes mises en place par l’agence de Fort Meade. De facto, en plus des nombreuses institutions, les noms de plusieurs grandes entreprises privées sont apparus parmi les cibles de la NSA. Donc ceux des Français Total et Thales.

Pour plus de détails, lire :

– La NSA écoute 35 dirigeants de la planète, insuffisant pour souder l’Europe
– 100 000 ordinateurs trafiqués par la NSA… Le soupçon grandit à Bruxelles
– Espionnage de Belgacom : ce serait un coup des services britanniques
– Clean Pipe : le bouclier anti NSA de Deutsche Telekom, sera finalisé pour 2016
– Les DSI français aiment le Cloud… et se méfient de la NSA