Journal d'investigation en ligne et d'information‑hacking
par Skhaen

NSA, il est temps de faire le (premier) point

Les programmes de surveillance ne sont pas une nouveauté... En 1988, le journaliste Duncan Campbel révélait l'existence d'un programme de renseignement, Echelon, dans un article pour The New Statesman qui s'intitulait "Somebody's listening". En 1996, c'était le journaliste néo-zélandais Nicky Hager qui publiait "Secret power" sur l'implication de son pays dans le programme.

Les programmes de surveillance ne sont pas une nouveauté... En 1988, le journaliste Duncan Campbel révélait l'existence d'un programme de renseignement, Echelon, dans un article pour The New Statesman qui s'intitulait "Somebody's listening". En 1996, c'était le journaliste néo-zélandais Nicky Hager qui publiait "Secret power" sur l'implication de son pays dans le programme. En 1999, suite à une demande du Parlement Européen, Duncan Campbell rend un rapport intitulé "Interception capabilities 2000" pour le STOA (Science and Technology Options Assessment du Parlement Européen -- traduction française disponible sous le titre "surveillance éléctronique planétaire" aux éditions Allia).

Le projet Echelon désignait un système mondial d'interception SIGINT via les satellites, et regroupant les États-Unis (NSA), le Royaume-Uni (GCHQ), le Canada (CSTC), l’Australie (DSD) et la Nouvelle-Zélande (GCSB) dans le cadre du traité UKUSA.

Pour ne pas rester à la traîne, la France a rapidement mis en route un projet similaire, surnommé "frenchelon".

Plus près de nous, en 2013, Edward Snowden, (ex-)analyste de la CIA et de la NSA décide d'alerter l'ensemble de la planète sur les nouvelles capacités d'écoute et d'interception des États-unis et de ses alliés. Mais vous connaissez cette histoire...

Fin 2013, ne trouvant aucune base de données des différents programmes, La Quadrature du Net commence, grâce à quelques bénévoles, le site nsa-observer.net qui regroupe l'ensemble des programmes de la NSA et du GCHQ provenant des fuites de Snowden.

premier tour d'horizon

Même si l'immense majorité des programmes est sous l'égide de la NSA (National Security Agency) et donc des États-unis, certains programmes viennent d'autres pays (en particulier du Royaume-uni via le GCHQ). La NSA classe ses pays partenaires en 3 grandes familles :

  • Five Eyes (FVEY / AUSCANNZUKUS)

    • États-unis (indicatif pays : USA - agence : NSA),
    • Royaumes-unis (indicatif pays : GBR - agence : GCHQ),
    • Nouvelle-Zélande (indicatif pays : NZL - agence : GCSB),
    • Canada (indicatif pays : CAN - agence : CSEC),
    • Australie (indicatif pays : AUS - agence : ASD).
  • Nine Eyes : comprend Five Eyes avec en plus : le Danemark, la France, les Pays-bas et la Norvége.

  • Fourteen Eyes (SSEUR - Sigint Senior EURope) : comprentd les Nine Eyes avec en plus l'Allemagne, la Belgique, l'Italie, l'Espagne et la Suède.

La collecte de données

Les services récupèrent tout ce qu'ils peuvent, c'est à dire dans le désordre :

Tout ce que vous faites avec un navigateur (sans oublier sa version, la langue, les plugins installés...), les flux voix (VoIP, GSM, téléphone fixe...), fax, emails, chats (MSN-like, Jabber...), vidéos (que ce soit en provenance de youtube, de skype,...), photos, fichiers (en transferts, stockés, ...), DNI (Digital Network Intelligence), DNR, empreintes des réseaux wifi (cf. VICTORY DANCE en dessous), activités sur les réseaux sociaux, détails des comptes google/yahoo/outlook...), et l'on en passe.

Pour faire simple, tout ce que vous faites laisse forcément des traces quelque part. Et c'est ce qu'ils cherchent, collectent, et parfois stockent. Voici donc la première partie de ce tour d'horizon concernant quelques programmes de la NSA et du GCHQ.

UPSTREAM / TEMPORA / RAMPART-(x)

Aussi connu sous le nom de "ROOM641A", le programme UPSTREAM a commencé en 2003, a été révélé en 2006 et consiste à la collecte via des "écoutes" sur les câbles de fibres optiques (de manière très simplifiée). Le projet UPSTREAM concerne la collecte sur l'ensemble des fibres optiques trans-océaniques, qui permettent l'acheminement des communications internationales, comme Internet, les appels, les SMS...

UPSTREAM englobe beaucoup de sous-programmes qui correspondent à des régions du monde. Ils collectent différentes données (DNI, DNR, métadonnées, contenu, voix, fax...). Pour plus de détails sur UPSTREAM et ses sous-programmes, le blog electrospaces est une très bonne source d'information.

TEMPORA est l'équivalent d' UPSTREAM pour le Royaume-uni, et RAMPART l'équivalent en coopération via certains pays Européens.

PRISM

PRISM est un accès direct aux serveurs de certaines sociétés américaines : Microsoft (+Skype), Yahoo, Google (+Youtube), Facebook, PalTalk, AOL, Apple...

Ce programme permet de faire des requêtes concernant des personnes ou des groupes précis concernant les emails, les chats/vidéos, les photos, les données stockées (coucou le cloud), de la VoiP, etc. Il suffit de lister les différents services de ses entreprises pour avoir une idée de qu'ils peuvent avoir. PRISM est donc utilisé pour "cibler" quelqu'un en particulier.

MUSCULAR

Ce programme a fait beaucoup parler de lui quand il a été rendu public, et pour cause : il permet l'interception des données entre les datacenters de Google (et de Yahoo) ce qui permet, entre autre, d'éviter les connexion HTTPS clients/serveurs. Google a chiffré ses communications inter-datacenters depuis.

VICTORY DANCE

Coopération entre la CIA et la NSA au Yémen. Ils ont listé les empreintes wifi de presque toutes les grandes villes Yéménites via des drones (si vous ne voyez pas à quoi ça peut servir, cf. XKEYSCORE).

Souvenez-vous de ce que les Google Cars ont fait pendant un bon moment dans le reste du monde et ce que cela a pu devenir depuis...

MYSTIC

MYSTIC est un ensemble de programmes qui collecte des données (le plus souvent provenant des téléphones et/ou des GSM) dans certains pays. On peut ainsi noter ACIDWASH (qui a collecté entre 30 et 40 millions de métadonnées par jour en Afghanistan), DUSKPALLET (qui vise les GSM au Kenya), EVENINGWEASEL (wifi mexicain) et SOMALGET.

SOMALGET permet de "monitorer" les systèmes de télécommunications d'un pays (via des entreprises américaines implantées localement le plus souvent). Ce programme a visé les Bahamas (sans doute pour servir de test avant de passer à plus gros) puis l'Afghanistan où il a collecté et stocké TOUS les appels téléphoniques, aussi bien localement que vers l'international.

Mais que fait-on des données après ?

Voici justement quelques exemples.

ANTICRISIS GIRL

Via des programmes comme UPSTREAM / TEMPORA / RAMPART qui permettent de faire de la collecte passive, il est possible de collecter les adresses IP des personnes se connectant à un site, par exemple au site wikileaks.org ou celles des auteurs de recherches Google ayant permis l'accès au site.

nsaobserver-programs
nsaobserver-programs
XKEYSCORE

XKEYSCORE consiste en un ensemble d'interfaces et de bases de données qui permettent de sélectionner certaines données collectées via différents moyens (et il y en a beaucoup).

Voici quelques exemples des possibilités de ce programme :

  • trouve-moi tous les allemands (langue du navigateur) qui sont en Afghanistan (géolocalisation de l'IP) et qui ont été sur Youporn et sur Facebook dans les dernières 24h.
  • marque comme "extrémiste" toutes les personnes (connexion IP) allant sur le site du projet Tor ou sur celui du projet Tails. Même chose si la source télécharge Tor.

Ne vous leurrez pas, ce dernier exemple est bel et bien réel, je vous laisse voir par vous même :

OPTIC NERVE (GCHQ)

En 2008, ce programme a collecté une photo toutes les 5 secondes provenant de chaque flux vidéos des chat Yahoo (soit environ 1.8 millions d'utilisateurs sur une période de 6 mois). Les documents indiquent qu'il y a un avertissement pour les opérateurs car l'on y trouve entre 8 et 12% de "nudité" (à prendre au sens large).

Pour information, en 2008 déjà, le GCHQ indiquait faire des tests pour de la reconnaissance faciale automatique, ainsi que pour la XBOX360. Nous sommes maintenant en 2014, parions que c'est aussi le cas pour Skype) ainsi que pour Snapchat. N'oubliez pas que la X BOX ONE a une caméra et un micro allumés 24/7, avec de la reconnaissance faciale/vocale par défaut).

Mais ce n'est pas tout, la NSA espionne aussi certains sites pornos.

Et oui ! Et il parait que c'est pour la lutte contre le terrorisme (comme le reste quoi...). Par exemple, pour pouvoir faire pression sur un intégriste musulman parce qu'il a été "vu" en train de regarder du porno.

Une cible ? Que peut-on faire ?

QUANTUM (à lire en écoutant Attack !)

Une fois identifiée, une "cible" devient potentiellement autre chose qu'une simple "cible d'écoutes". Elle peut devenir une cible d'attaques personnalisées qui feront de ses outils informatiques de véritables passoires.

Pour rediriger une cible vers un serveur FOXACID, la NSA réalise un Man-in-the-Middle (ou Man-on-the-Side) sur une connexion vers des serveurs de sociétés US (Google (Gmail), Yahoo, Linkedin..) grâce à l'emplacement de noeuds (TAO nodes) à des endroits clés sur le réseau (comprendre : "sur les dorsales de certains FAI"). La NSA utilise donc ses noeuds pour permettre des redirections à la volée vers les serveurs FOXACID, qui lanceront eux-mêmes différents types d'attaques selon la cible et les besoins.

Il existe beaucoup de sous-programmes pour QUANTUM, chacun visant quelque chose en particulier, comme QUANTUMBOT pour IRC, QUANTUMINSERT (implantation de malware - utilisé dans le hack de Belgacom), QUANTUMCOOKIE (force les cookies dans le navigateur ciblé), QUANTUMSPIM (messagerie instantanée, comme MSN ou XMPP)...

HUNT SYSADMINS (à lire en écoutant "[a bullet in your head](http://www.youtube.com/watch?v=o-QGNUYL5g)_")

ATTENTION : pour faciliter la lecture, la partie technique a été "coupée", 

merci de suivre les liens pour approfondir ! C'est TRÈS intéressant !

Lalecture des posts sur un forum interne d'un opérateur de la NSA qui s'intitule "hunt sysadmins" est édifiante... Cet opérateur raconte que le meilleur moyen d'avoir accès à des informations est de "passer" par les administrateurs systèmes qui ont accès aux serveurs ou au routeurs (possibilité de mettre la main sur la topologie des réseaux, trouver des configurations, obtenir des accès, des emails...).

Il explique ainsi comment la NSA collecte PASSIVEMENT toutes les transmissions via le protocole telnet (programme DISCOROUTE). Oui, telnet le protocole développé en 1968 (dans la RFC 15, c'est dire que c'est vieux !), absolument non sécurisé (aucun chiffrement), et qui est apparemment encore pas mal utilisé pour administrer des routeurs à distance.

Dude! Map all the networks!!!

(l'opérateur de la NSA en question)

Il explique alors comment identifier un administrateur système, trouver son webmail et/ou son compte Facebook (oui, oui) et de là, utiliser la famille QUANTUM pour réaliser une attaque et avoir un accès à sa machine ET/OU au(x) routeur(s).

Et là, comme tout le monde, tu te dis "Moi j'utilise SSH \o/"

Sauf qu'il explique AUSSI comment identifier une personne ayant accès à un serveur en SSH.

En clair : on peut deviner qui a vraiment accès à un serveur selon la taille des paquets qui passent et le temps de connexion.

Une fois la source (via l'IP) identifiée, vous pouvez voir (par exemple avec XKEYSCORE) les connexions à des webmails, Facebook (ou n'importe quoi qui peut l'identifier), et là, PAN ! Tu peux le QUANTUM-ifier \o/

Et il termine gentiment sur le pourquoi et comment prendre la main sur un routeur (fort instructif aussi).

ATTENTION : encore une fois, TOUT le document est disponible en ligne, et sa  lecture est obligatoire si vous êtes sysadmins.

INTERDICTION

C'est tout simplement la possibilité pour la NSA d'intercepter un colis (comme l'ordinateur que vous venez de commander en ligne), d'installer ce qu'ils veulent dessus (comme un firmware persistant dans le BIOS, un composant permettant à un appareil de la famille d'ANGRYNEIGHBOR (qui porte toujours aussi bien son nom) de fonctionner...).

Il suffit de jeter un coup d'oeil au catalogue pour avoir une idée de ce qu'ils peuvent faire.

Et pour finir...

"le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire." (Albert Einstein)

Après ce tour d'horizon rapide (il y a plus de 400 programmes sur nsa-observer.net), tout le monde aura compris que cette voie est dangereuse. Il est impossible de prévoir qui décidera de son utilisation demain, ni même aujourd'hui.

Nous ne pouvons pas faire confiance aux gouvernements et encore moins aux entreprises pour assurer notre sécurité et notre vie privée.

Nous pouvons, par contre, nous appuyer sur la société civile (comme l'EFF (eff.org) ou La Quadrature du Net, les lanceurs d'alerte (comme Chelsea Manning ou Edward Snowden) et sur des outils qui ne nous trahiront pas, comme les logiciels libres.

La cryptographie fonctionne ! Et c'est une des nouvelles importantes de ces révélations. Il existe des tutoriaux partout sur le net pour se mettre à chiffrer ses communications. C'est le cas d'OTR pour Jabber (messagerie instantanée), SSL/TLS pour à peu près tout (mails, chat,...), GPG (qui demande un niveau technique un peu supérieur), Tor...  Il est également recommandé de venir à des cryptoparty / café vie privée pour apprendre à s'en servir.

Pour autant une confiance aveugle dans ces outils, surtout pris séparément, n'est pas recommandée. A chaque parade développée par la communauté des internautes, les services de renseignement comme la NSA ou les sociétés privées spécialisées dans la surveillance de masse, développent des contre-parades en quasi temps réel. C'est sans doute à celui qui sera le plus inventif. Gageons que l'intelligence collective du réseau gagnera à la fin...

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée