Fin juin, l’inspecteur général du ministère américain (OIG) de la Justice rendait public un rapport, en partie caviardé, consacré aux efforts entrepris par le Federal Bureau of Investigation (FBI) pour protéger ses employés, ses enquêtes et ses opérations contre l’identification par la « surveillance technique ubiquitaire » (UTS).

La division de contre-espionnage du FBI définit l’UTS comme « la collecte généralisée de données et l’application de méthodologies analytiques dans le but de relier des personnes à des objets, des événements ou des lieux » grâce aux traces identifiables via les réseaux de caméras de vidéosurveillance, aux empreintes numériques et téléphoniques, transactions bancaires et voyages, notamment.

L’OIG y soulignait que « les progrès récents des technologies disponibles dans le commerce ont rendu plus facile que jamais pour des nations et des entreprises criminelles moins sophistiquées d’identifier et d’exploiter les vulnérabilités créées par les UTS ». Au point que certains membres du FBI et d’agences partenaires, telles que la Central Intelligence Agency (CIA), qualifient cette menace d’« existentielle ».

Le FBI y racontait comment, en 2018, le cartel de trafic de drogue d’El Chapo avait recruté un hacker qui, exploitant le réseau téléphonique et le système de vidéosurveillance de la ville de Mexico, avait identifié des « personnes d’intérêts » aux abords de l’ambassade des États-Unis. Il avait tracé l’agent de liaison du FBI via ses appels téléphoniques, afin de menacer, voire de tuer les témoins gênants qu’il cherchait à faire parler et coopérer.

Depuis, le FBI a mis en œuvre des « red teams » dans chacune de ses divisions, chargées d’identifier leurs failles en termes d’UTS et de développer un plan pour y remédier. Mais le rapport initial transmis à l’OIG à ce sujet n’était composé que d’une seule page et de quelques lignes, sans détails, explications ni analyses.

Depuis, une sensibilisation à la menace UTS a certes été rendue obligatoire, pour l’ensemble des employés du FBI, mais elle ne dure que 45 minutes. Et si des formations plus poussées, mais optionnelles, ont été mises en œuvre, elles ne peuvent être proposées qu’à un nombre limité de stagiaires, faute de moyens.

Des procédures de sécurité de la CIA ont paradoxalement trahi ses agents

« Plus vous essayez de vous cacher, plus vous vous faites remarquer », résume un ancien de la CIA au journaliste et auteur de romans d’espionnage David Ignatius. Ce dernier raconte dans le Washington Post qu’il y a plus de 10 ans, la CIA avait par exemple confié à son réseau d’espions dans un pays du Moyen-Orient des « burnerphones » (« téléphones jetables », non rattachés à une identité et dédiés à communiquer de façon camouflée) qu’ils ne devaient allumer que pour communiquer avec leurs officiers traitants.

Sauf que le service de sécurité local avait mis au point un algorithme permettant d’identifier les téléphones utilisés de façon anormale, ce qui lui avait permis de démanteler le réseau d’espions de la CIA. Grâce à la procédure OPSEC (pour « OPerations SECurity », ou sécurité opérationnelle en français) qui avait pourtant été mise en place afin de les protéger.

Alors que les caméras de vidéosurveillance deviennent la norme, que la majeure partie de la population dispose d’un téléphone portable, lui-même connecté en permanence à de nombreux services et réseaux sociaux, il devient de plus en plus compliqué de parvenir à vivre et communiquer sans laisser de traces. Le simple fait de ne pas avoir de téléphone portable ou de profil sur les médias sociaux pourrait d’ailleurs lui-même paraître suspicieux.

• Droit

  « Terrorisme » : quand utiliser le chiffrement, Linux, e/os, Tor et Tails devient un élément à charge (1/2)

  Droit

  Mardi 06 juin 2023 à 07h32 06/06/2023 07h32

  62

Des enquêtes publiées sur Yahoo News puis Reuters avaient par ailleurs révélé comment les services de renseignement iraniens puis chinois avaient découvert tout un réseau de sites web utilisés comme « boîtes aux lettres mortes » par la CIA pour communiquer avec ses sources. Le Citizen Lab avait alors identifié 885 de ces sites, Ciro Santilli en a depuis retrouvé plus de 400 sur archive.org.

Ces sites, d’apparence anodine et dédiés au foot iranien, à la musique rasta ou encore à la saga Star Wars, partageaient les mêmes modèles et plages d’adresses IP, et leurs formulaires de recherche étaient en fait des formulaires de mot de passe. La consultation du code source de ces sites web permettait de le vérifier.

Next était longuement revenu, dans une série de trois articles, sur cette affaire rocambolesque et tragique, qui avait entraîné l’arrestation de dizaines de sources de la CIA et l’exécution de plus d’une vingtaine d’agents chinois. Comme le précise @fdorin en commentaire, Sylvqin a aussi consacré une vidéo de 21’42 le mois dernier à ce « fiasco des sites secrets de la CIA ».

• Le « système de communications clandestines » de la CIA qui a trahi ses espions (1/3)
• Des espions fabriqués, identifiés, lâchés et livrés à leur triste sort par la CIA (2/3)
• Comment, et pourquoi, la CIA a pu trahir ses propres espions (3/3)

Les techniques traditionnelles ne résistent pas aux nouvelles technologies

Glenn Chafetz explique à David Ignatius avoir été choisi en 2018 pour occuper le poste de premier « chief of tradecraft » au sein de la direction des opérations de la CIA. Succédant au groupe de travail sur la surveillance technique ubiquitaire, qui avait lui-même remplacé un groupe de travail sur la vidéosurveillance, il avait pour objectif de « s’adapter au nouveau monde », et de passer du stade de prévention des menaces à une posture plus proactive.

« On réalisait que le problème ne concernait pas seulement les caméras, mais aussi les systèmes de paiement, les applications mobiles, les hubs Wi-Fi – toute technologie produisant des données en permanence », explique Chafetz à Ignatius.

Il y fut confronté à un manque de compréhension et même à une certaine résistance de la part de nombreux officiers ayant rejoint la CIA à une époque où les téléphones portables, les appareils photo numériques et Google n’existaient pas.

David Ignatius explique dès lors s’être intéressé, ces derniers mois, à ces dizaines d’entreprises tentant de réinventer le renseignement américain pour survivre et faire face à cette ère de « surveillance technique ubiquitaire », et dont la plupart ont été créées par des anciens de la CIA ou de l’armée.

L’une d’entre elles utilise les données pour identifier les chercheurs susceptibles d’avoir des liens avec les services de renseignement chinois. Une autre analyse les systèmes de big data à la manière des professionnels du marketing et de la publicité, afin d’exploiter les possibilités offertes par l’« ADINT » (pour « ADvertising INTelligence », le pendant publicitaire du renseignement de source ouverte, ou OSINT).

D’autres s’en servent, a contrario, pour protéger leurs utilisateurs. Cape, un opérateur téléphonique qui affirme ne retenir que le strict minimum de données, recourt ainsi à une technologie appelée Obscura (non accessible au grand public) faisant rebondir les signaux des téléphones portables entre différents comptes émanant de milliers de clients, pour qu’il soit impossible de retrouver l’un d’entre eux. Une tactique qualifiée d’ « obscurcissement opportuniste ».

Ignatius rappelle que, depuis qu’il existe, l’art de l’espionnage repose sur deux piliers. Les espions doivent d’une part opérer en secret, cachant qui ils sont et ce qu’ils font via une « couverture ». Ils doivent d’autre part dissimuler leurs mouvements et leurs communications, et recourir à des méthodologies et techniques spéciales (qualifiées de « tradecraft ») à cet effet. Or, souligne David Ignatius, « la technologie moderne a fait voler en éclats ces deux piliers ».

Aaron Brown, un ancien Ranger de l’armée et officier antiterroriste de la CIA, avait par exemple décrit dans un blog du service de renseignement, en 2018, que des systèmes de « reconnaissance de la démarche » pourraient bientôt permettre d’identifier un individu en fonction de leur façon de marcher. Nombre de ses collègues étaient alors restés sceptiques, l’un d’entre eux allant jusqu’à qualifier sa prospective de « threat porn ».

Sept ans plus tard, en mai dernier, un modèle appelé FarSight, utilisant la reconnaissance de la démarche, du corps et du visage, a permis de vérifier avec une précision de 83 % la présence d’une personne à une distance de 1 000 mètres, et de 65 % même lorsque son visage était masqué, souligne Ignatius.

Le problème est aussi entre la chaise et le clavier

C’est d’ailleurs en réponse à cette montée en puissance des « nouvelles technologies » que la CIA s’était dotée, en 1999, de son propre fonds d’investissement, In-Q-Tel (In pour intelligence, Q en référence au chef de la section R&D de la saga James Bond, tel pour télécommunications).

Vingt ans plus tard, l’un des interlocuteurs de David Ignatius explique avoir déclaré à Gina Haspel, qui dirigeait alors la CIA, « vous êtes la PDG de Kodak ». Une référence à l’entreprise qui n’avait pas su anticiper la révolution du numérique, alors que l’un de ses ingénieurs, Steven Sansson, avait mis au point le premier appareil photo électronique en 1975.

Au-delà des technologies elles-mêmes, les services de renseignement – comme les militaires – peinent parfois à comprendre et anticiper ce que leurs usages peuvent révéler.

Next avait ainsi déjà raconté comment, après avoir identifié une vingtaine d’agents de la DGSE et de la DGSI grâce à l’application de géolocalisation sportive Strava, l’auteur de ces lignes avait également identifié des centaines d’agents du renseignement états-unien et britannique.

Il avait en outre fallu attendre quatre ans, jusqu’à ce qu’il soit dénoncé au Mossad par un OSINTer israélien, pour que Strava règle le problème. Les services de contre-espionnage, pas plus que Strava, n’avaient réussi à les identifier.

• Société

  Des centaines d’agents de services de renseignement étaient « à poil » sur Strava, depuis 4 ans

  Société

  Vendredi 01 juillet 2022 à 10h21 01/07/2022 10h21

  30

Ignatius raconte de son côté comment un broker de données publicitaires avait pour sa part identifié le QG des forces spéciales états-uniennes dans la cimenterie Lafarge, au nord de Raqqa, du temps de la guerre contre les djihadistes de l’État islamique.

Le métier de Mike Yeagley était en effet de vendre à des annonceurs les données collectées par les applications mobiles. Cherchant à aider les ONG venant en secours aux réfugiés syriens fuyant la guerre civile, il avait acheté (pas cher, vu le peu de valeur marchande qu’elles représentaient) des données relatives à des téléphones portables syriens.

Il avait également eu la curiosité de regarder si des téléphones ayant été géolocalisés aux abords de Fort Bragg (la plus grande base militaires américaine, mais également la plus grande base d’entraînement des commandos et forces spéciales au monde) s’étaient aussi géolocalisés en Syrie, identifiant ce QG pourtant couvert par le secret défense.

La paranoïa des régimes totalitaires bénéficie au contre-espionnage US

Strider Technologies, fondée en 2019 par les frères jumeaux Greg et Eric Levesque, se décrit elle-même comme une « agence de sécurité économique des temps modernes ». Pour aider ses clients à sécuriser leurs innovations et leurs talents, elle analyse les organisations et leurs employés, leurs données de recherche et la manière dont elles ont été obtenues et partagées, les contacts établis par leurs chercheurs, dans le pays et à l’étranger, et leurs liens avec des organisations de renseignement connues ou des entités pouvant servir de façade et de « légende », comme l’explique Eric Levesque à David Ignatius :

« Imaginons qu’un ingénieur en logiciel postule pour travailler dans une entreprise informatique internationale. Cet ingénieur a obtenu un doctorat dans une grande université américaine. Quelles sont les recherches qu’il a menées dans cette université ? Ont-elles été partagées avec des organisations chinoises ? Quels sont les documents de recherche qu’il a publiés ? Qui les a lus ou cités en Chine ? Pour quelles entreprises chinoises (ou sociétés écrans) a-t-il travaillé ? Ce futur employé a-t-il été relié à une quelconque branche du conglomérat civil et militaire chinois ? »

Des recherches qui seraient, paradoxalement, facilitées par le fait que des pays comme la Chine ou la Russie veulent eux-mêmes pouvoir surveiller leurs propres concitoyens, et ne protègent donc pas forcément les (bases de) données qui pourraient les y aider.

Certaines entreprises cherchent aussi à déployer des IA dédiées. Scale AI, récemment rachetée par Meta, commercialise par exemple un produit dénommé Donovan, inspiré du nom de William Joseph Donovan, l’inspirateur de la création de la CIA.

Disponible sur les réseaux classifiés et « air gapped » (non connectés à Internet, ndlr), il se targue de pouvoir « fouiller dans toutes les données disponibles pour identifier rapidement les tendances, les idées et les anomalies ».

Vannevar Labs propose de son côté de « construire la première ligne de défense pour faire face à la concurrence de la Chine ». Son nom s’inspire de Vannevar Bush, le chercheur du MIT et inspirateur de l’hypertexte et du web, qui avait été à la tête de la R&D aux États-Unis pendant la Deuxième Guerre mondiale, et qui fut l’un des instigateurs de ce qui est désormais qualifié de « complexe militaro-industriel ».

La start-up avance pouvoir « influencer le comportement des adversaires et obtenir des résultats stratégiques », et développer « des techniques avancées de collecte, d’obscurcissement et d’apprentissage automatique pour garantir l’accès aux données utiles à la mission face à des adversaires proches capables de refuser l’accès aux moyens ISR (renseignement, surveillance et reconnaissance) conventionnels » :

« La mission de l’entreprise est de fournir des solutions innovantes qui permettent un accès sécurisé et fiable aux données critiques pour les militaires, les gouvernements et les services de renseignement. En s’appuyant sur des technologies sophistiquées, Vannevar Labs vise à garder une longueur d’avance sur l’évolution des menaces et des défis dans le paysage moderne de la guerre de l’information. »

L’avenir de l’espionnage s’écrit avec des zéros et des uns

Lumbra, lancée par Aaron Brown après son départ de la CIA, cherche pour sa part à créer ce qu’il décrit comme un « système nerveux central » capable de connecter la « superintelligence » des futurs modèles d’IA avec des « agents » logiciels.

Brown explique avoir rencontré Sam Altman, le fondateur d’OpenAI, pour affiner sa réflexion, et avance que « nous pouvons trouver tous les chercheurs en IA, lire tous les articles qu’ils ont écrits et analyser toutes les menaces que leurs recherches peuvent représenter pour les États-Unis », comme il l’explique à David Ignatius :

« Brown imagine ce qu’il appelle un « Case Officer in a Box ». Conceptuellement, il s’agirait d’une version miniaturisée d’un système agentique utilisant un grand modèle de langage, tel que Claude d’Anthropic. En tant qu’appareil hors ligne, il pourrait être transporté dans un sac à dos par n’importe qui et laissé n’importe où. Il parlerait toutes les langues et connaîtrait tous les faits jamais publiés. Il pourrait converser avec un agent, en posant des questions pour obtenir des informations essentielles. »

Il serait dès lors possible de demander à une hypothétique recrue iranienne : « Avez-vous travaillé dans le cadre du programme iranien de fabrication d’armes ? Où se trouvait votre laboratoire ? Dans le complexe Shariati ? Bon, alors, était-ce dans le bâtiment Shahid Karimi ou dans le bâtiment Imam Khomeini ? Avez-vous travaillé sur des déclencheurs de neutrons pour une bombe ? À quel point vos recherches étaient-elles sur le point d’aboutir ? Où avez-vous vu pour la dernière fois les prototypes de déclencheurs à neutrons ? Montrez-moi sur une carte, s’il vous plaît ».

Une forme de « solutionnisme technologique » qui n’est « probablement pas réaliste », relève David Ignatius, qui note qu’un célèbre recruteur de la CIA estime pour sa part que « personne ne mettra sa vie entre les mains d’un robot ».

Reste que, conclut le journaliste auteur de romans d’espionnage, « les espions humains sur le terrain deviendront rares » :

« Occasionnellement, une information sera si précieuse que la CIA risquera la vie de l’un de ses officiers, et la vie de l’un de ses correspondants, pour collecter du renseignement en personne. Mais ce type d’espionnage en personne sera l’exception. L’avenir de l’espionnage s’écrit avec des zéros et des uns. La CIA ne survivra en tant qu’agence d’espionnage puissante que si elle change de paradigme. »