La NSA ne se contente pas d’écouter, elle pirate les ordinateurs
Par Paul LoubièreSelon un site d’infos néerlandais, 50.000 PC auraient été infiltrés par l’agence américaine via des logiciels espions. Explications de Loïc Guézo, expert technique sécurité chez Trend Micro.
Qu'a révélé précisément le NRC Handelsblad ?
Loïc Guézo. Nous avons appris ce week-end que 50 000 ordinateurs avaient été infestés. Il ne s’agit pas simplement d’un nouveau système d’écoute. C’est véritablement l’installation d’un logiciel espion à l’intérieur d’ordinateurs spécifiquement pris pour cible.
Il y a tous les jours de nouvelles révélations sur les agissements de la NSA...
C’est la première fois que la NSA est pris la main dans le sac en train d’installer des systèmes de hacking. Il ne s’agit plus seulement d’écoutes massives et passives au fil de l’eau. On pensait que la NSA faisait de la pêche au gros avec un filet. Là, c’est carrément du harponnage direct à la proue du navire. Elle décide d’une cible et attaque. Ce n’est plus de l’espionnage classique, la NSA démontre sa capacité à prendre le contrôle d’un ordinateur à distance. C’est une escalade très grave. Les révélations du Handelsblad mettent en lumière l’existence d’une équipe de hacking, de piratage, baptisé TAO.
Les techniques utilisées vont du cheval de Troie à l’installation de logiciels espions qui enregistrent tout ce qui se passe sur l’ordinateur et qui l’envoient à la NSA. Ce qui proprement incroyable c’est l’ampleur et le professionnalisme du système. Ce type d’opération a commencé il y a 15 ans, autrement dit dès la naissance de l’Internet. L’outil a été développé avec des moyens financiers et humains considérables, avec notamment les projets de recherche de la DARPA.
Qui était visé ?
La liste des cibles n’est pas connue. Il y a des cibles en Amérique centrale, en Amérique latine, en Afrique, surtout l’Est de l’Afrique, en Europe centrale, au Moyen Orient, en Inde et en Chine. Il n’y en a pas en Amérique du Nord.
Et en Europe? En France?
Oui, il y a des cibles en Europe. En France, ce n’est pas clair. Il faut comprendre comment la NSA s’y prend. En Europe, elle est apparemment passée par des sites falsifiés de réseau social. Elle aurait ainsi infiltré Belgacom, l’opérateur belge, qui a reconnu avoir été piraté. D’autres opérateurs l’ont peut-être été également.
La NSA installe un CNE (computer network exploitation) qui permet de rediriger les informations. En France, il n’y aurait pas de CNE mais un simple point régional. Les accès auraient été piratés selon trois niveaux de confidentialité : coopératif, quand le réseau de télécom collabore avec la NSA, masqué, quand la NSA utilise un tiers pour récupérer des données et enfin clandestin quand il s’agit d’une opération entièrement secrète.
Des entreprises privées ont-elles collaboré avec la NSA ?
La NSA a mis en place un système pour récolter le maximum de "zero day" autrement dit une vulnérabilité, une faille, qui n’est pas encore connue. Comme cette faille n’est pas connue, elle est utilisable par des hackers privés pour pirater des ordinateurs, mais aussi par la NSA. Il y a des entreprises qui ont des contrats avec la NSA pour fournir des "zero day". C’est le cas de FireEye.
En France, Vupen a probablement fait la même chose. Evidemment, la vente de "zero day" est un contrat commercial comme un autre, mais on peut se poser des questions par rapport aux intérêts français. Un "zero day" se négocie de 100 à 20.000 dollars, voire beaucoup plus selon la complexité de la faille révélée.
Comment peut-on se protéger?
A partir du moment où on utilise internet, on utilise des infrastructures qui sont contrôlées par les Etats-Unis. La NSA contrôle plus ou moins directement des sociétés censées lutter contre les "zero day". On a découvert des accords secrets avec des sociétés qui installaient des alarmes en cas d’intrusion. Sauf que l’alarme ne sonnait pas quand l’attaque venait de la NSA.
On peut malgré tout chiffrer les données ?
En effet. Google et Yahoo, par exemple, accusés d’avoir fourni des informations à la NSA, ont réagi en proposant des systèmes de chiffrement. Cela peut ralentir ou complexifier le travail de la NSA. Mais l'agence a déjà une parade. Les cercles de hackers ont révélé que les nouveaux standards émis pour le chiffrement AES seraient contrôlés par la NSA. En clair, certains algorithmes de chiffrement sont craquables par l’agence américaine.
Il n’y a rien à faire ?
Il existe un projet qui remet au goût du jour le vidéotex inspiré du Minitel ! Il est développé en cas de crash de l’internet. Il est bas sur la radio, en dehors des réseaux IP de l’Internet. Ces systèmes ont notamment été testés en Syrie et au Maghreb où les Etats avaient pris le contrôle d’internet.
Nouvelles révélations dans l'affaire Snowden : l'espionnage américain aurait infiltré de nombreux ordinateurs du globe.
Une section dédiée aux malwares à la NSA. C'est un document provenant d'une présentation interne de la NSA et publié lundi par le quotidien néerlandais NRC qui dévoile le pot aux roses : l'agence américaine de renseignement, pointée du doigt ces derniers mois pour ses pratiques d'espionnage, dispose d'une section spéciale baptisée Tailored Access Operations (TAO), chargée d'implanter et d'utiliser des malwares dans le monde entier. Au total, ce sont 50.000 programmes malveillants s'installant à l'insu de leurs utilisateurs qui auraient été implantés dans le monde entier. Pour quoi faire ? Quels sont les pays visés ? Explications.
C'est quoi un malware ? C'est un petit logiciel malveillant développé puis installé sur un ordinateur à l'insu de l'utilisateur. Il s'agit d'un terme générique réunissant de nombreuses attaques informatiques différentes : vers, virus ou encore chevaux de Troie. Les conséquences de l'installation d'un malware peuvent être multiples : impossible de lancer un autre programme, panne complète de l'ordinateur ou encore copie du contenu de celui-ci pour l'envoyer sur une autre machine distante. Pour éviter ce type d'attaques, certains antivirus "scannent" toutes les informations de nos ordinateurs pour repérer les intrus et tenter de les éradiquer. Mais ces logiciels ne suffisent pas toujours, comme le démontrent ces dernières révélations dans l'affaire Snowden.
Pour quoi faire ? Avec un tel dispositif, les États-Unis disposent d'un outil capable de prendre le contrôle de certains ordinateurs à distance et de récupérer des informations confidentielles. Mais ces dernières révélations ne précisent pas quelles étaient les cibles : particuliers, entreprises ou gouvernements.
Pourquoi certains pays sont-ils épargnés ? En observant la carte du monde qui accompagne les informations mises en lumière lundi, cinq pays apparaissent épargnés par cet outil d'espionnage global : le Royaume-Uni, la Nouvelle-Zélande, le Canada et l'Australie. La raison est simple : ces pays partagent déjà leurs informations avec les États-Unis.
En 2008 déjà, 20.000 malwares dévoilés. Ce n'est pas la première fois que la NSA est pointée du doigt pour une histoire de ce type : en 2008, le Washington Post évoquait déjà 20.000 malwares déployés par l'agence américaine sur la planète. Une technique utilisée par les services secrets américains depuis 1998, affirme même le journal NRC. La NSA n'a pas encore réagi à ces accusations, alors qu'Edward Snowden, l'ancien collaborateur de l'agence américaine à l'origine de la publication de ces documents, est actuellement réfugié en Russie.
L'agence de sécurité nationale américaine (NSA) prévoit de discréditer certains islamistes radicaux qu'elle a mis sous surveillance en dévoilant leurs habitudes de consulter des sites internet pornographiques, rapporte mercredi le Huffington Post, en citant un document fourni par Edward Snowden. La NSA souhaite montrer "l'hypocrisie" de six individus qu'elle a espionnés, tous musulmans extrémistes prononçant des discours enflammés pro-jihad, selon le document interne de la puissante agence de renseignement révélé par Snowden. Cet ancien consultant de la NSA est actuellement recherché par Washington pour avoir fourni à la presse des révélations fracassantes sur les méthodes de surveillance des télécommunications par les Etats-Unis.
"L'autorité de ces individus radicaux semble plus vulnérable quand leurs comportements privés et publics ne sont plus compatibles", assure le document, faisant référence à un précédent rapport d'évaluation. "Certaines de ces faiblesses, si elles sont révélées, remettent en cause la dévotion de ces personnes radicales à la cause jihadiste, menant à une réduction voire à la perte totale de leur autorité", poursuit-il. L'un des éléments de preuve potentielle montrerait ainsi un militant "en train de visionner un contenu en ligne à caractère explicitement sexuel, ou en train d'user d'un langage explicitement sexuel avec des jeunes filles sans expérience". Le document obtenu par le Huffington Post est le dernier d'une série révélée à de grands titres de la presse internationale par Edward Snowden, actuellement réfugié en Russie
Comment protéger ses données en ligne ? Europe1.fr propose trois moyens de limiter l'accès à vos données personnelles.
- Régler son navigateur. Tous les navigateurs Internet possèdent une option permettant de surfer sans trace : Google Chrome, Internet Explorer, Mozilla Firefox ou encore Apple Safari. Certes, il faut rentrer tous ses mots de passe à chaque nouvelle fenêtre ouverte, mais cela assure un minimum de confidentialité. Autre limite : en 2010, une étude de l'université de Stanford, en Californie, a démontré que la navigation privée n'était pas fiable à 100%.
- Modifier la "localisation" d'un ordinateur. Chaque PC connecté à Internet possède une adresse IP, c'est-à-dire un numéro d'identification en ligne. Ce numéro peut être modifié grâce à un outil nommé VPN (Virtual Private Network) : il s'agit de créer un leurre faisant croire à Internet que votre ordinateur se situe à l'étranger.
- Éviter de lier les différents comptes sur Internet. Twitter, Facebook, Google+, LinkedIn, Viadéo. Autant de réseaux sociaux possédant de nombreuses informations sur vous. Mieux vaut utiliser une adresse email, une photo, un pseudonyme différent pour chacun d'entre eux afin d'éviter que les informations ne se croisent trop facilement.
Ces données que vous semez sur le Net
En une seule journée, l’internaute lambda fournit quantité d’informations, souvent à son insu.
Décidée à sensibiliser les citoyens sur les conséquences d’Internet sur la vie privée, l’Union européenne a fait du 28 janvier la journée européenne de la protection des données. Un concept en apparence abscons mais aux conséquences très concrètes. Pour mieux s’en rendre compte, Europe1.fr a imaginé la journée type d’un Internaute.
Avant d’entamer ce panorama, un rappel s’impose : rien n’est gratuit, y compris sur Internet. Facebook, Google, Youtube, Yahoo, etc. vous offrent bien une riche palette de services sans rien vous demander en échange... mais seulement en apparence. Car ces entreprises ne font pas de bénévolat et doivent bien se financer : elles collectent donc des données pour constituer des listes qu'elles revendent ensuite à d'autres entreprises. Autant dire que vos informations personnelles et vos goûts sont épiés à de très nombreuses reprises en l’espace d’une seule journée.
• Au réveil, premier mail et premières confidences. Vous relevez votre boîte mail pour commencer la journée ? C’est déjà le début de la collecte pour les géants du Web. Gmail dispose par exemple de logiciels qui décomposent vos messages et en retiennent les mots clefs récurrents pour ensuite personnaliser sa publicité. Cela fait quelques jours que vous échangez par mail vos envies d’un voyage à Metz ? Étrangement, les publicités pour des hôtels de la ville grenat se multiplient sur votre navigateur Internet. CQFD.
• Dans les transports, un petit jeu et plus encore. Citadin, vous prenez les transports en commun et en profitez pour jouer sur votre smartphone à un jeu en ligne du type solitaire ou Angry Birds. Des jeux gratuits mais pas sans contre-partie : à moins de l’avoir refusé en modifiant vos paramètres de confidentialité, ces applications collectent les informations suivantes : localisation, sexe, modèle du smartphone, contacts et réseaux sociaux.
• Revue du Web et deuxième collecte. Arrivé au travail, vous allumez votre ordinateur et effectuez plusieurs recherches sur Google, Bing ou Yahoo. Toutes les recherches que vous effectuez et les liens sur lesquels vous cliquez sont une nouvelle fois conservés et archivés. Soit dans un fichier nominatif si vous disposez d’une boite mail chez le même opérateur, soit dans un fichier qui identifie votre ordinateur par votre adresse IP. Cette collecte permet aux moteurs de recherche d’améliorer leurs outils mais aussi de vous proposer une publicité plus ciblée.
• Au boulot, tout se garde. Les heures passent et les courriels professionnels s’enchainent. Sachez que tous les courriels envoyés depuis votre boîte mail professionnelle et l'historique des sites consultés depuis votre lieu de travail sont archivés et peuvent être consultés par votre entreprise. Cette dernière doit néanmoins avoir des raisons valables de le faire et ne peut fouiller dans vos courriels par simple curiosité.
• Les réseaux sociaux, une oasis d’informations. Vous revenez de votre pause déjeuner et décidez de vous connecter quelques minutes à votre réseau social préféré ? Là aussi, toutes les informations indiquées seront scrupuleusement conservées. Si vous témoignez de votre amour pour une pâte à tartiner, un artiste ou une équipe de sport, Facebook l’inscrit dans votre profil. Si Nutella souhaite ensuite envoyer une publicité ciblée pour présenter ses nouveautés, Facebook lui donnera alors accès (contre rémunération) à une liste d’utilisateurs dans laquelle vous figurez.
• Une petit moment de détente, et ca continue. Sur les conseils de vos amis Facebook, vous partez en quête du dernier clip de votre artiste préféré ou d’une énième vidéo de chat. Que ce soit sur Youtube ou Dailymotion, vos recherches et les vidéos regardées seront aussi stockées. D’où la colonne à droite qui vous propose spontanément de nouvelles vidéos qui correspondent (souvent) à vos goûts.
• Une adresse à trouver, vous êtes géolocalisé. Sorti(e) du travail, vous avez rendez-vous avec un ami mais ne connaissez pas l’adresse du café. En passant par les Pages jaunes ou Google map, vous la trouverez mais lors de votre première connexion à ces services, vous avez peut-être aussi accepté d’être géolocalisé. Et pour cause, c’est bien pratique pour obtenir ensuite le trajet pour s’y rendre, ce que propose également l’application smartphone de la RATP à Paris ou de TCL à Lyon.
• Faire ses courses, c’est aussi donner des informations. De retour à votre domicile, vous passez à votre nouveau dossier : trouver un nouveau grille-pain. Vous comparez donc les prix sur différents sites marchands et chacun d’eux enregistre votre adresse IP, installe chez vous un cookie rémanant (c'est-à-dire non temporaire) et saura donc, lors de votre prochaine visite, que vous êtes intéressé par l’univers du petit déjeuner. L’exemple le plus frappant de ce "marketing comportemental" se trouve du côté d’Amazon, qui vous propose en bas de page ce que les autres utilisateurs au profil similaire ont acheté. Et Amazon se trompe rarement.
Conclusion. La moindre démarche effectuée en ligne laisse une trace et cette dernière est très souvent exploitée pour améliorer le service mais aussi (et surtout) vous proposer une publicité personnalisée. Difficile donc d’y échapper, à moins de ne jamais s’inscrire nulle part et de recourir à des outils tels qu’Anonymiser, qui cache votre adresse IP et donc votre adresse physique. Vous pouvez également utiliser la session "privée" de votre navigateur Internet pour éviter de conserver des cookies ou un historique de vos recherches. Quant aux utilisateurs d'un smartphone, il leur est conseillé de se rendre de temps en temps dans les réglages pour vérifier les paramètres de confidentialité
Tenir Big Brother en laisse ?
Le groupe de travail mandaté par Barack Obama ne remet pas en cause la légitimité de la surveillance mais appelle à plus de transparence et à la mise en place de garde-fous...
Ce rapport ne va plaire à personne. En 303 pages, le groupe de travail chargé par Barack Obama de passer en revue les programmes controversés de la NSA propose essentiellement de tenir Big Brother en laisse, mais pas de le museler. Du côté des défenseurs des libertés individuelles, l'Electronic Frontier Foundation dénonce des recommandations qui «laissent la porte ouverte à la surveillance de masse». Mais en coulisse, plusieurs élus craignent que l'agence ne puisse plus avoir les coudées franches pour lutter contre le terrorisme. Désormais, Barack Obama va «consulter» afin de voir quelles mesures doivent être implémentées.
Transparence accrue des requêtes
Actuellement, quand la NSA veut obtenir des informations sur un compte Facebook ou Google d'un internaute, elle doit obtenir un mandat auprès d'un tribunal secret, baptisé Fisc. La loi du silence règne, et les entreprises sont forcées de garder les détails de leur collaboration secrets. Les experts recommandent une vaste remise à plat du système, pour davantage de transparence. Selon eux, les requêtes devraient «être régulièrement présentées au Congrès et au peuple américain, de la manière la plus étendue possible». Les entreprises, elles, devraient être autorisées à communiquer, à condition qu'elles ne mettent pas en danger la sécurité nationale.
Diviser les pouvoirs de la NSA
Le rapport propose plusieurs pistes pour réformer l'Agence de sécurité nationale. Le poste de directeur devrait être ouvert aux civils, selon les experts. Ils militent également pour la scission de la direction de la NSA et de celle de la défense du cyberespace, un double post aujourd'hui occupé par le général Keith Alexander.
Protéger les données
C'est sans doute l'attaque la plus dure contre la NSA. «Le gouvernement ne devrait pas être autorisé à collecter et conserver des informations personnelles en masse, non classées, sur des individus», écrivent les experts, qui se prononcent aussi pour interdire au gouvernement de stocker les métadonnées téléphoniques collectées par la NSA. Ces données devraient être conservées par des tiers, pointent les experts. Le rapport fait la différence entre une collecte précise validée par un juge, et la pêche sans discrimination révélée par Edward Snowden, notamment entre les data centers de Google et Yahoo.
Moins d'espionnage des leaders étrangers, plus de collaboration
Les révélations sur la surveillance présumée du téléphone portable d'Angela Merkel avaient déclenché une tempête diplomatique. Selon le rapport, la NSA devrait mieux coopérer avec les «alliés proches» de Washington, et les critères sur la surveillance de dirigeants étrangers devraient être resserrés. Et l'espionnage des citoyens étrangers? Le rapport n'y voit pas de problème, à condition les Etats-Unis et ses partenaires «scellent des accords concernant les règles de collecte de renseignements sur leurs citoyens respectifs».
From : Challenges,TF1, Europe 1, 20 minutes,...