NSA : l'arsenal des surveillants (et les pistes pour s'en protéger)

De quel arsenal disposent les agences de renseignements occidentales pour surveiller leur population, leurs alliés et, accessoirement, leurs ennemis ? Mercredi, le premier cabinet de conseil en cybersécurité français, Lexsi, avait réuni quelques dizaines de responsables informatiques de grandes entreprises à Paris. L'objectif ? Leur rappeler à quel point ils sont "une cible potentielle" des services de renseignements, comme la NSA aux États-Unis. Les révélations de l'ex-analyste américain Edward Snowden sont passées par là, et il était inutile de les convaincre de l'existence d'une menace. La conférence s'est donc attachée à préciser les moyens concrets dont disposent les surveillants. Et le panorama est effrayant.

La collecte des données

La collecte d'informations est organisée en 7 "briques" :

1. À l'usine de fabrication, de nombreux produits sont spécialement configurés par le constructeur, et contiennent dès lors des portes dérobées. Lexsi cite des marques comme les géants du réseau Barracuda, Huawei, ZTE, Actel (puces militaires et industrielles), ou encore l'agent Computrace, un code malicieux "officiel" pré-installé sur deux millions de PC dans le monde.

2. Durant le transport et la livraison, les équipes TAO (tailored access operations, "accès sur mesure") de la NSA interceptent de façon ciblée les colis contenant le matériel sensible (routeurs, équipements de sécurité, etc.) et y implantent des portes dérobées. L'agence américaine est vraisemblablement partenaire de tous les géants mondiaux, dont UPS, FedEx, TNT ou encore DHL, comme semblent le prouver des photos publiées par Edward Snowden qui montrent une équipe TAO en train de manipuler des colis du fabricant américain de routeurs Cisco Systems. Cette méthode est jugée très efficace pour atteindre des cibles difficiles, d'autant plus que tout se déroule de façon transparente : impossible de savoir que le colis a été ouvert.

3. Dans le système d'information de la cible, la NSA peut aussi agir. Pour cela, elle dispose d'un véritable catalogue d'outils. "Le catalogue ANT, c'est comme la Redoute, mais pour les mouchards", plaisantent Thibaut Gadiolet et Vincent Hinderer, analystes chez Lexsi. ANT, pour Access Network Security, permettait en 2008 de compromettre 20 000 types de réseaux. En 2012, le chiffre était passé à 50 000. Dans les outils, concrètement, on trouve de tout. Ici, "Ragemaster", un câble d'écran très classique, à l'exception près qu'il intègre un relais radio qui diffuse en direct, sur une distance de plusieurs kilomètres, l'image affichée sur l'écran. Il suffit de remplacer le câble d'écran de la cible, et l'on peut espionner tout ce qui est affiché sur son écran. "Cottonmouth", lui, est un câble USB d'apparence banale, qui installe toutefois un malware sur l'ordinateur cible. Plus évoluée, la station mobile pirate "Cyclone" permet de déployer un faux réseau de téléphonie mobile. Fonctionnel pour ne pas être détecté par l'utilisateur, ce réseau est évidemment écouté par la NSA.

4. L'opérateur télécom de la cible prend en charge ses données, et c'est donc un bon moyen de surveillance détournée. Surtout pour les États-Unis : 75 % des communications internationales transitent à un moment ou à un autre par AT&T ou Sprint. Mais, parfois, on se sert directement à la source. L'opérateur historique belge Belgacom en a fait les frais, lorsqu'il a été piraté par le GCHQ (l'équivalent britannique de la NSA), probablement pour le compte de la NSA. Pourquoi Belgacom ? "Cet opérateur est au carrefour de toutes les institutions européennes", expliquent les deux experts de Lexsi. Tout s'explique.

5. Sur Internet, la NSA déploie son réseau d'écoutes mondial le plus massif. Première cible : les câbles sous-marins, par lesquels transite 95 % du trafic intercontinental. Edward Snowden a révélé que la NSA a piraté le câble SEA-ME-WE 4, une liaison de 20 000 kilomètres entre l'Océanie, l'Asie, le Moyen-Orient et l'Europe (Marseille). En 1999, le Pentagone a modifié les plans de construction du sous-marin nucléaire d'attaque USS Jimmy Carter pour étendre ses capacités de renseignement clandestin et de mise sur écoutes des câbles sous-marins. Une facture supplémentaire d'un milliard de dollars, qui s'ajoute aux deux milliards du prix de base du mastodonte... D'autres systèmes sont mis sur écoutes, dont les satellites et les réseaux d'Internet mobile.

6. Le déchiffrement est une activité vitale pour la NSA, particulièrement depuis que les géants de l'Internet ont activé par défaut les protocoles sécurisés. Le projet Bullrun, qui dispose d'au moins 250 millions de dollars par an, doit offrir au renseignement américain une capacité de déchiffrement maximum. Pour atteindre ce but, trois batailles sont menées en parallèle : la NSA influence le développement des protocoles de sécurité dans l'espoir d'y implanter des vulnérabilités, la NSA se procure les clés de chiffrement avec ou sans l'accord des entreprises et des constructeurs de matériel, et enfin, en dernier recours, la NSA attaque le chiffrement par la méthode "brute force", c'est-à-dire qu'elle essaie de casser les chiffrements avec des supercalculateurs. L'agence est le premier exploitant mondial de supercalculateurs, elle a donc les moyens...

7. Les moyens de pression juridiques sont aussi une bonne solution pour se procurer des informations. Le gouvernement américain a fait passer plusieurs lois qui posent les bases de la surveillance. L'US Executive Order 12333, signé en 1981 par Ronald Reagan, suivi de l'Electronic Comunications Privacy Act, puis du célèbre Patriot Act (octobre 2001) de George W. Bush, qui couvre les sociétés américaines mais aussi leurs filiales, et vise les citoyens américains. Contre les citoyens des autres pays, on trouve le FISA Amendments Act (section 702), une série de mises à jour d'une loi de 1978 sur les interceptions des télécommunications. "Entre le Patriot Act et FISA, ils touchent tout le monde !" commente Alexandra Ruiz, analyste chez Lexsi. Les requêtes ne doivent pas être divulguées par les intermédiaires techniques saisis, l'utilisateur n'est donc pas au courant qu'il est surveillé. Et ce n'est pas la réforme Obama de janvier qui changera les choses : les modifications apportées sont "minimes".

L'exploitation des données

Pour exploiter les données collectées, la NSA dispose du programme XKeyscore. D'après les documents Snowden, la NSA s'allie au GCHQ britannique ainsi qu'aux services secrets allemands et israéliens. La lutte contre le terrorisme est au premier niveau des objectifs, mais, dans les documents Snowden, on voit que les objectifs du programme incluent aussi la diplomatie et l'économie. "On a donc une agence [la NSA] qui a peut-être dépassé son mandat pour avoir une vision globale, et qui en fait profiter le gouvernement américain sur des enjeux qui dépassent la simple sécurité nationale, pour déborder sur la guerre économique", commentent les analystes de Lexsi.

Comment réagir ?

"La première réaction à avoir, c'est d'accepter que l'on est une cible potentielle", assène Lexsi. C'est le préalable indispensable pour lancer de vraies procédures de détection d'intrusion. "Il faut éviter d'être une cible trop facile, pour limiter la casse, avec du chiffrement, de la sécurité physique et des solutions certifiées", poursuivent les analystes. Concernant les terminaux sécurisés, il faut faire "attention à la vague marketing", avec des produits "qui ont l'air bien sur le papier", mais dont les fournisseurs pourraient être soumis à la NSA par un moyen ou par un autre.

Lors d'un voyage à l'étranger, il faut "préparer son déplacement". Tout matériel informatique emporté peut être copié, scanné, infecté. Attention aux aéroports, aux hôtels, aux restaurants : il ne faut jamais perdre l'ordinateur, la tablette ou le smartphone des yeux : quelques secondes suffisent à un espion.

En cas de doute sérieux, pour une entreprise, il est important d'avertir les services français, comme la Direction générale de la sécurité intérieure (DGSI, ex-DCRI) et surtout l'Agence nationale de la sécurité des systèmes d'information (Anssi), le cyberdéfenseur de la France. Il faut toutefois faire preuve de bon sens : les services français sont un bon interlocuteur lorsqu'on est attaqué de l'extérieur. Mais, parfois, l'attaque vient de l'Hexagone : il est déjà arrivé que des PME soient torpillées avec le consentement de l'État, car elles menaçaient les intérêts d'un plus grand groupe français (la réforme Obama de janvier, second exemple). Sans parler d'un journal comme Le Point, qui travaille régulièrement sur des dossiers sensibles impliquant de très hauts responsables français : il serait absurde de se tourner vers la DGSI ou l'Anssi en cas de vol suspect d'informations sur nos sources !

Que voulons-nous ?

"Il est évident qu'il y aura toujours des dérives et des abus, et il serait naïf de penser que toutes ces données ne vont pas être exploitées d'une autre manière que contre le terrorisme", commentent les analystes de Lexsi. Après un peu plus d'une décennie de psychose antiterroriste, les agences de renseignements ont prouvé qu'elles peuvent faire ce qu'elles veulent. Reste donc à définir démocratiquement ce qu'elles veulent, non ?