La NSA surveille les réseaux de la Corée du Nord depuis 2010
Baleine sous gravillon
Des informations dévoilées par le New York Times et Der Spiegel permettent de mieux comprendre les capacités de la NSA dans la cyberguerre. Non seulement l’agence s’octroie la possibilité d’utiliser les outils de ses alliés en les détournant à son avantage, mais elle pourrait bien avoir fourni la preuve au FBI que la Corée du Nord était bien impliquée dans le piratage de Sony Pictures.
Le piratage de Sony Studio au centre de l'attention
Le piratage de Sony Pictures a marqué le début d’un véritable roman d’espionnage et de chasse aux cyber-terroristes. Le studio s’est fait dérober plus de 11 To de données, parmi lesquelles des films qui n’étaient pas encore sortis au cinéma. Malgré de nombreux doutes, c’est la piste de la Corée du Nord qui a fini par être retenue officiellement, et le FBI n’a de cesse depuis d’appuyer en ce sens. Pour autant, très peu de preuves ont été fournies, le Bureau n’ayant pas souhaité non plus éclaircir certaines zones d’ombre tenaces.
La question qui reste pour beaucoup aujourd’hui est de savoir comment le FBI peut-il être à ce point persuadé de l’implication directe de la Corée du Nord. James Comy, directeur du Bureau, a indiqué il y a une dizaine de jours que les informations fournies par la communauté du renseignement confirmaient l’hypothèse et que le doute n’était plus permis. Dans le même temps, il expliquait qu’il était délicat d’en dire davantage sans mettre en danger les capacités de détection et d’intrusion du pays.
La NSA était-elle au courant de l'attaque en préparation ?
Le New York Times et Der Spiegel ont eu moins de scrupules, et pour cause : il s’agit simplement de pavés supplémentaires dans la longue route des révélations de Snowden. Le journal américain révèle ainsi que la NSA a la capacité d’espionner les réseaux nord-coréens depuis 2010 déjà. Les analystes peuvent se glisser dans certaines connexions depuis la Chine et même détourner les outils de surveillance de la Corée du Sud pour remplir leurs objectifs.
La NSA s’est en fait servi de plusieurs malwares dont la mission était de traquer l’activité des hackers de Corée du Nord, dont le nombre est estimé à 6 000 environ. De là, une question troublante : l’agence était-elle capable de détecter qu’une opération était en préparation contre Sony Pictures ? Les analystes n’ont peut-être pas pu assurer une surveillance constante, auquel cas cette opération serait passée inaperçue. Il y a peut-être eu également négligence de la part de l’agence. Ou bien les préparatifs ont pu encore être faits hors des radars. De nombreuses pistes peuvent être explorées, mais aucune réponse ne peut encore être apportée.
Le New York Times suggère en outre que la perception de la réalité de la Corée du Nord agit parfois comme un prisme déformant. Il rappelle ainsi que Jang Sae-yul, ancien développeur pour l’armée nord-coréenne, avait expliqué à Séoul en 2007 que son ancien pays avait développé ses capacités de piratage durant les trente dernières années et qu’il pouvait très bien déclencher des attaques contre un pays en particulier.
L'agence dispose d'un arsenal complet de défense
Ce n’est pourtant pas faute de disposer de moyens techniques précis, comme le révèle Der Spiegel. Le journal allemand propose sa propre fournée d’informations issues des documents d’Edward Snowden, et ils sont cette fois plus techniques. Y sont expliquées les raisons de la création du Remote Operations Center, à savoir les Tailored Access Operations qui permettent de se faufiler dans virtuellement n’importe quel système distant, par tous les moyens disponibles. Der Spiegel dispose même d’un échantillon de malware (un keylogger, pour enregistrer les frappes au clavier), a priori développé de concert par les Five Eyes : États-Unis (NSA), Canada (Communications Security Establishment), Royaume-Uni (GCHQ), Australie (Signals Directorate) et Nouvelle-Zélande (Government Communications Security Bureau).
Plusieurs programmes de surveillance sont cités, notamment Turbine et Turmoil, et sont reliés à un autre, Tutelage, créé pour surveiller les connexions entrantes et sortantes des réseaux militaires et donc détecter d’éventuelles attaques contre le Département de la Défense (DoD). Ainsi, si une attaque a lieu, l’ensemble de ces défenses peut travailler à la reconnaissance des méthodes utilisées et à la réorientation vers de fausses cibles, équipées de systèmes capables de capturer les malwares pour analyse.
Des informations de sources tierces, quatrièmes, cinquièmes...
Mais la NSA peut surtout attaquer et chercher des informations de manière proactive. Elle dispose évidemment de différentes sources d’informations, plus ou moins directes. Certaines viennent de sources tierces avec lesquelles existent des accords croisés d’échanges, mais l’agence dispose également de « sources quatrièmes » ou même « cinquièmes ». Il s’agit de tiers, puissances alliées ou non, dont les propres outils de surveillance servent en sous-marin à ceux de la NSA, pour répandre par exemple un malware. La NSA peut même récupérer des informations depuis un réseau piraté par un autre réseau, qu’elle aura elle-même infiltré.
Dans le cas de la Corée du Nord, ce sont en particulier les installations de sa sœur du Sud qui ont été utilisées. Elle avait en effet réussi à poser des balises chez sa voisine du Nord pour surveiller des personnes précises. La NSA a donc pu récupérer ces informations via ses propres méthodes (source quatrième), mais s’est rendu compte que les mêmes personnes étaient également surveillées par leur propre pays : l’agence a donc récupéré également ces données (source cinquième). Dans une discussion extraite depuis un intranet de la NSA, on apprend même que la pêche aux informations peut se transformer en chasse aux « trésors », notamment dans le cas d’une faille 0-day inconnue utilisée par un tiers pour frapper une cible. Auquel cas, la NSA récupère les informations sur cette brèche et peut s’en servir ensuite contre d’autres cibles.
Der Spiegel décrit dans son article une intense guerre de l’ombre, dans laquelle les combats font rage presque hors d’atteinte des lois. Le journal allemand précise ainsi que les agences de renseignement fonctionnent toutes désormais sur le mode du « démenti plausible », en cherchant toutes à atteindre le Saint Graal : rendre impossible l’identification des auteurs des attaques. Ce qui permet à ces dernières de continuer, un responsable politique pouvant toujours les nier avec véhémence.
Commentaires (30)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 20/01/2015 à 07h17
Quand je lis les commentaires, je me dis que finalement, la surveillance généralisée ne dérange personne au fond.
Ils vont la faire passer, quelques uns vont gueuler, la majorité se taira et approuvera comme toujours.
Le 20/01/2015 à 08h15
Ils envoient des trucs dans la nature (malware et compagnie), récupèrent des données et sont sur que ces données sont intègres ? Parce que ça doit exister des groupes assez forts techniquement pour corrompre les données issues des “quatrième” et “cinquième”.
Le 20/01/2015 à 08h53
Ce jour là, les responsables étaient partout sauf à leur poste de commandement.
A partir de 33’10”:http://dai.ly/x14gtd7
Le 20/01/2015 à 09h07
Le 20/01/2015 à 09h47
Le 21/01/2015 à 04h57
“Les preuves présentées par la NSA ont rapidement convaincu l’équipe de Barack Obama, ce qui a permis aux États-Unis de trouver rapidement le coupable et d’appliquer des sanctions économiques sur la Corée du Nord.”
“Les preuves présentées par la NSA ont rapidement convaincu l’équipe de Georges W. Bush, ce qui a permis aux États-Unis de déclarer la guerre au régime irakien et ses armes de destruction massive.”
Y’a qqn qui voit une certaine ressemblance entre ces deux phrases?
Mais bon, vu mon pseudo on va m’accuser de voir des complots partout.
Le 21/01/2015 à 15h28
Le 19/01/2015 à 16h28
Ce que j’adore, c’est que la NSA espionne la Corée du Nord, et rencarde le FBI.
Mais jamais ils ont envisagés de prévenir Sony AVANT l’attaque, s’eut été trop simple.
Le 19/01/2015 à 16h29
L’image des paraboles et la citation des Five Eyes me fait penser au réseau échelon. J’ai plus peur de la NSA que de la Corée du Nord, c’est bizarre. Peut être parce que l’un d’entre eux est plus enclin à laisser traîner ces petites bêtes comme Stuxnet même chez ses soit-disant alliés.
Le 19/01/2015 à 16h31
La NSA surveille 5 IP qui se battent en duel 
" /> ?
Le 19/01/2015 à 16h32
Le 19/01/2015 à 16h52
Seulement depuis 2010
" /> ?
Le 19/01/2015 à 16h55
En Corée du nord, ils ne connaissent internet que depuis 2010. C’est pour ça
" />
Le 19/01/2015 à 17h02
En même temps, on voit mal la NSA ou le FBI se pointer chez Sony pour leur dire “Au fait les mecs, on espionne la Corée du Nord et on a trouvé que…”
Le 19/01/2015 à 17h04
De là, une question troublante : l’agence était-elle capable de détecter
qu’une opération était en préparation contre Sony Pictures ? Les
analystes n’ont peut-être pas pu assurer une surveillance constante,
auquel cas cette opération serait passée inaperçue. Il y a peut-être eu
également négligence de la part de l’agence. Ou bien les préparatifs ont
pu encore être faits hors des radars.
Ou alors, la Corée du Nord n’y est pour rien, on accuse d’abord et on fabrique/trouve des preuves après. Histoire qu’Obama ne passe pas pour le gros naze qu’il est. Ou alors, c’est les extra-terrestres de Roswell ? Ou même, un analyste de la CIA qui a acheté une PS4, et qui a monté cette histoire de toute pièce pour se venger de SONY… On sait pas.
Le 19/01/2015 à 17h08
Le 19/01/2015 à 17h11
N’empêche qu’on en a plus entendu parler du piratages de Sony, ni des menaces des prétendus pirates
Le 19/01/2015 à 17h19
En gros si les gars veulent DDOS quoi que ce soit, ils DDOS leur propre infra avant même d’atteindre le monde exterieur 
" />
Le 19/01/2015 à 17h22
C’est a peu près ça.
Si la Corée du Nord a un intranet depuis 2000, il fut un temps ou les quelques sites officiels Nord-Coréens était hébergés par le réseau d’ambassades du pays afin de profiter des infrastructures du pays hôte, car pas d’interconnexions entre la Corée du Nord et le reste du monde.
Le 19/01/2015 à 17h35
Et dire que je pensais dire une énormité.
" />
Le 19/01/2015 à 17h44
Ce n’était pas difficile a détecter… Le débit entrant du pays à été multiplié à 2000 pendant quelques jours :)
Le 19/01/2015 à 17h47
Et dire que ce n’est que la pointe émergée de l’iceberg …
Le 19/01/2015 à 19h08
Le 19/01/2015 à 19h41
Ah, évidemment, si vous considérez que ce sont vraiment les services nord-coréens qui ont effectué cette attaque, cette information est incohérente.
Je trouve que cette news renforce la cohérence des thèses selon lesquelles l’attaque ne provient pas de Corée du Nord.
Ça pourrait bien être une attaque sous fausse bannière. Ne riez pas, ça s’est déjà vu.
Le 19/01/2015 à 19h47
Détrompez vous, la plus grande part du renseignement à l’heure actuelle a des visées économiques.
Le Figaro
Le 19/01/2015 à 19h51
C’est la guerre économique.
 http://www.france24.com/fr/20110507-espionnage-economique-guerre-services-secret…
Le 19/01/2015 à 19h56
Une mise en garde contre une prochaine attaque ou bien une attaque en cours suffit.
J’ai l’impression que la NSA montre a quoi elle sert en réalité : tout espionné, tout enregistrer.
Mais l’exploitation des données, la “pro activité” on repassera.
Et pendant ce temps, la NSA accumule, en se disant “ça servira”. Un merveilleux outil de surveillance politique.
Le 20/01/2015 à 02h17
J. Edgar Hoover 2.0
Le 20/01/2015 à 06h43
En tout cas, à voir l’état de leur pelouse sur l’illustration, aucun jardinier ne veut travailler pour eux.
Le 20/01/2015 à 06h59