"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui regardent et laissent faire !" Albert Einstein

Comment la NSA traque ceux qui protègent nos réseaux




Que les administrateurs réseaux constituent une cible privilégiée pour les agents secrets de la NSA n’est pas une nouveauté. En novembre, le magazine Spiegel avait déjà dévoilé des documents d’Edward Snowden qui relatait une attaque sur les administrateurs réseaux et systèmes de Belgacom, dans le but d’accéder à certaines parties du réseau interne de l’opérateur. Le site The Intercept vient maintenant de publier d’autres documents qui donnent un éclairage plus général et particulièrement intéressant sur ce sujet.

Ainsi, au travers une série d’articles, un responsable de la NSA explique à ses collègues pourquoi et comment piéger les postes de travail des administrateurs réseaux et systèmes. Le "pourquoi" est assez facile à comprendre. La NSA ne peut pas (encore) tout surveiller. Les réseaux privés, en particulier, peuvent lui échapper. Pour pouvoir traquer une cible qui se baladerait sur un tel réseau - un "terroriste" ou un "extrémiste" par exemple - l’idéal serait d’avoir accès au poste de l’administrateur correspondant, car c’est lui "qui détient les clés du royaume".

Une fois obtenu cet accès, il sera certainement possible de récupérer tout un tas d’informations utiles : codes d’accès, cartographie du réseau, etc. A terme, l’idéal serait d’ailleurs d’avoir, selon ce responsable, une base de données qui associe à chaque réseau une liste d’administrateurs réseaux qui permettrait d’y donner accès. Facile à dire, mais comment faire?

Stratagèmes multiples 

C’est alors que l’on découvre toute l’ingéniosité de la NSA, et sa puissance de feu. Pour accéder au poste de l’administrateur, le plus simple est d’utiliser le programme Quantum Insert. Evoqué déjà à plusieurs reprises, celui-ci permet de piéger n’importe quel ordinateur, à partir du moment où l’utilisateur se connecter sur son compte Facebook ou sur sa messagerie. Le problème: il faut connaître les comptes personnels en question pour réaliser cette opération. L’agent met au point toute une stratégie permettant de récupérer, en analysant des sessions de connexion Telnet ou SSH, les adresses IP utilisées par les administrateurs dans le cadre de leur travail. Un autre programme de surveillance permet ensuite d’associer ces adresses IP et de potentiels comptes Facebook. Et le tour est joué : il suffit ensuite d’actionner le programme Quantum Insert pour infecter l’ordinateur.

Sans trop entrer dans les détails techniques, la NSA s’appuie la faible protection du protocole Telnet pour identifier directement dans les routeurs et serveurs administrés les adresses IP utilisées par l’administrateur. Dans le cas de SSH, c’est plus compliqué, car ce protocole est chiffré. Néanmoins, en analysant simplement la taille des messages SSH qui circulent, l’agence est capable d’identifier les fameuses adresses IP qui l’intéresse. Pour ceux qui souhaitent connaître les détails techniques, il suffit de lire le document: tout est expliqué. C’est même vivement recommandé si votre job est d’administrer des réseaux et des systèmes.

TAO, l’unité d’élite de la NSA qui pénètre dans tous les systèmes 

Le service secret américain dispose d’une troupe de cyberhackers pour réaliser les opérations spéciales. Dernier succès en date : le piratage du câble sous-marin Sea-Me-We-4, qui part de Marseille pour relier Singapour.

Dans le cyber-espionnage, il y a parfois des situations qui nécessitent des technologies sur-mesure, afin de pouvoir accéder à des informations particulièrement bien protégées. Au sein de la NSA, c’est une unité d’élite baptisée Tailored Access Operations (TAO) qui s’en charge. L’existence de cette troupe de cyberhackers a été révélée aujourd’hui par le magazine allemand Spiegel, qui se base sur des documents d’Edward Snowden. Elle intervient quand les programmes d’écoute automatisée - tel que Prism - ne sont pas suffisants. Et souvent, c’est avec succès.

Un câble sous-marin piraté

Recrutés à l’occasion des grandes conférences de hackers, les petits génies de TAO peuvent rentrer dans presque tous les systèmes : les  serveurs de messagerie Blackberry pour espionner des capitaines d’industrie, les smartphones de chefs de gouvernements étrangers, les réseaux de grandes entreprises, etc. En février dernier, ils ont réussi à mettre la main sur des documents techniques d’un important câble sous-marin, le Sea-Me-We-4. Il relie Marseille à Singapour en passant par une série de pays de la Méditerranée, du Moyen-Orient et de l’Asie. Il est géré par un consortium de 16 entreprises, dont l’opérateur français Orange. Pour voler les informations, le TAO a piraté l’Intranet de ce consortium, en employant une méthode d’usurpation : l’utilisateur croît être connecté sur l’Intranet, alors qu’il est en réalité sur un faux site de la NSA.

Usurpation d'identité de site Web

L’usurpation de sites web est une grande spécialité de l’unité TAO. En interne, cette technique s’appelle Quantum Insert. Le principe est simple : quand la personne ciblée veut se connecter sur un site web, les serveurs de la NSA intercepte cette requête et lui renvoie une copie parfaite du site en question, dans lequel se trouve évidemment un cheval de Troie. A partir de ce moment, la machine utilisée par la personne ciblée sera totalement sous le contrôle du service américain. Les sites que la NSA peut usurper sont nombreux : Facebook, LinkedIn, YouTube, Yahoo, etc.




Mais Quantum Insert n’est qu’une technique utilisée parmi d’autres. L’unité TAO dispose de tout un catalogue de logiciels et de matériels lui permettant de siphonner à peu près tout et n’importe quoi. Cette boîte à outils s’appelle « ANT », une abréviation qui veut probablement dire Advanced Network Technologies. On y trouve des câbles de connexion pour écrans informatiques qui permettent de récupérer l’affichage, des stations de base GSM pour surveiller les téléphones dans une zone donnée, des clés USB communicantes, etc. La plupart des équipements réseaux ou informatiques peuvent être piratés grâce aux procédés de ce catalogue, en particulier ceux fabriqués par Cisco, Huawei, Juniper, Dell, Western Digital, Seagate et Samsung. Ces noms sont cités dans les documents d’Edward Snowden.



Les agents du TAO n'hésitent pas non plus à recourir à des méthodes plus classiques, comme l'interception des paquets de la poste. Un ordinateur commandé sur Internet pourra ainsi être piraté directement, sans que le destinataire final ne s'en aperçoive. Il aura l'impression de recevoir un engin tout neuf alors que des malwares et autres portes dérobées auront été installées au préalable.