Le renseignement anglais entre surveillance illégale, rétroingénierie et manipulations
Pour votre bien
Le 23 juin 2015 à 10h03
9 min
Internet
Internet
Le GHCQ, l’agence anglaise de renseignement, vient d’être condamnée par un tribunal pour avoir gardé trop longtemps des données interceptées auprès de deux ONG. Dans le même laps de temps, de nouveaux documents montrent jusqu’où l’influence de l’agence peut s’étendre, et comment elle a coopéré avec la NSA pour s’introduire dans certains antivirus, dont celui de Kaspersky.
Le GCHQ condamné pour avoir gardé trop longtemps des données
Pour la première fois, le GCHQ (Government Communications Headquarters) vient d’être condamné par un tribunal pour avoir outrepassé les propres limites qu’il s’était fixées. L’agence anglaise de renseignement effectue régulièrement des opérations pour capturer des données dans ses filets. Ces procédures sont validées par différents commissaires ainsi que par le Parliamentary Intelligence and Security Committee. Pour le stockage des données en revanche, le GCHQ opère selon ses propres règles, qu’il ne respecte pas forcément.
Le journal The Guardian indique ainsi que l’IPT (Investigatory Powers Tribunal) a déclaré illégale la durée de conservation des données interceptées auprès de deux ONG, l’Egyptian Initiative for Personal Rights et le South African non-profit Legal Resources Centre. Dans les deux cas, l’IPT a jugé qu’il n’y avait pas de problèmes avec le type de données ou la « proportionnalité » de l’action face au contexte. Cependant, l’agence a brisé ses propres règles puisque les données sont stockées depuis nettement plus longtemps qu’elles ne l’auraient dû.
Le GCHQ a pour obligation la destruction immédiate des données concernées. Le tribunal a en outre ajouté que des mesures devaient « être prise pour s’assurer qu’aucune de ces deux brèches de procédure ne puisse à nouveau survenir ». D’ailleurs, l’IPT indique qu’un rapport précis sera envoyé au Premier ministre.
Pour la dizaine d’associations de défenses des droits civiques, la condamnation du GCHQ est évidemment une grande nouvelle. Privacy International, Liberty, Amnesty International, ou encore l’ACLU (American Civil Liberties Union) l'attendaient avec impatience. Pourtant, pour le directeur de Privacy International, Eric King, la situation reste clairement problématique : « Si l’espionnage des ONG de défense des droits de l’homme n’est pas hors de portée du GCHQ, alors qu’est-ce qui l’est ? Nos agences se sont clairement égarées. Depuis trop longtemps elles se voient confier trop de pouvoirs, avec trop de peu de règles pour se protéger des abus. Combien d’autres problèmes avec les procédures secrètes du GCHQ devront être révélés pour que l’agence soit placée sous contrôle ? » s’insurge-t-il.
Le groupe JTRIG, au cœur des opérations « sales »
Parallèlement, toute une flopée de documents d’Edward Snowden fait son apparition, notamment chez The Intercept. Plusieurs informations concernent le JTRIG, un groupe d’analystes et de hackers aux missions assez peu orthodoxes. On se rappellera comment a été organisée la traque de plusieurs membres des mouvances Anonymous et LulzSec, les agents se faisant passer pour des pirates, attirant les cibles dans des pièges et bombardant des canaux IRC via des attaques par déni de service.
Détaillées par The Intercept, les nouvelles informations montrent comment l’agence s’est imprégnée de psychologie pour mieux parvenir à ses fins : comment cerner les cibles, comprendre leurs motivations et leur fonctionnement, trouver et exploiter des failles dans leurs habitudes, manipulations des opinions et diverses influences font ainsi partie des méthodes employées. Contre quelles cibles ? Hacktivistes, voleurs d’informations au sens large, pédophiles, soutien judiciaire, groupes extrémistes locaux et ainsi de suite.
« discréditer, promouvoir la méfiance, dissuader, décourager, retarder ou perturber »
L’un des points les plus intéressants est la manière dont le groupe JTRIG communique avec divers services du Royaume-Uni pour leur apporter des informations pertinentes. Les forces de l’ordre peuvent ainsi recevoir des données pour améliorer « la justice civile et familiale », le Department for Children, Schools and Families peut se voir indiquer des risques de radicalisation, la Banque d’Angleterre peut recevoir des informations sur les fraudeurs, etc.
En fait, les documents montrent surtout comment le GCHQ dispose de mandats dépassant de loin ses attributions premières, portées sur le renseignement étranger et les méthodes utilisées pour tromper les cibles : envoi d’une vidéo sur YouTube contenant un langage précis, mise en place de groupes Facebook, forums, blog et comptes Twitter, créer de fausses identités pour soutenir d’autres comptes, préparer de faux sites ou magazines pour colporter de fausses informations, envoyer des messages à certaines cibles pour les leurrer avec des informations « non-censurées », prise de contrôle de certains sites, attaques par déni de service, etc. L’ensemble de ces actions vise toujours le même objectif : « discréditer, promouvoir la méfiance, dissuader, décourager, retarder ou perturber ».
De la rétroingénierie dans les antivirus pour y trouver des brèches
D’autres documents ont révélé par ailleurs comment le GCHQ et la NSA s’étaient associés pour effectuer des opérations systématiques de rétroingénierie contre les logiciels de sécurité de plusieurs dizaines d’éditeurs. Sont particulièrement touchées les sociétés produisant des antivirus, notamment F-Secure (Finlande), Eset (Slovaquie), Avast (République Tchèque) ou encore Kaspersky (Russie). Curieusement, les entreprises américaines Symantec et McAfee, ainsi que l’éditeur anglais Sophos sont absents de la liste. Pare-feu, outils de chiffrement et autres solutions de sécurité sont également de la partie.
Mais pourquoi s’attaquer à ces produits ? Parce que les deux agences de renseignement estiment qu’ils sont en travers de leur route. L’un des documents explique par exemple qu’un antivirus comme Kaspersky (nommé en exemple) empêche le GCHQ de profiter pleinement de ses capacités CNE (Computer Network Exploitation) : « la rétroingénierie logicielle est essentielle pour nous permettre d’exploiter [des failles] dans de tels logiciels et pour prévenir la détection de nos activités ».
Accumuler toujours plus de failles à exploiter
On se retrouve une fois de plus dans le contexte d’une agence de renseignement effectuant un travail dont la finalité pose un risque réel de sécurité pour les utilisateurs. La NSA est par exemple connue pour garder dans son giron toutes les failles de sécurité de type 0-day en vue de les exploiter au cours de diverses opérations. Plus récemment, la Navy avait même publié une annonce appelant des prestataires à lui vendre de telles brèches, toujours dans le même objectif. De fait, ces nouvelles révélations ne devraient pas poser de soucis, puisque l’annonce de la Navy abordait justement le cas des antivirus.
Ces opérations de rétroingénierie touchent par ailleurs de nombreux autres produits, et les documents abordent par exemple CrypticDisk (Exlade), eDataSecurity (Acer), les systèmes de forums vBulletin et Invision Power Board, CPanel ou encore PostfixAdmin. On sait en outre que les routeurs Cisco sont passés entre les mains du GCHQ et qu’il y a eu des conséquences, puisque l’agence anglaise a pu atteindre « presque n’importe quel utilisateur Internet » au Pakistan.
Des mandats pour s'affranchir des barrières légales
La plupart des logiciels s’accompagnent de conditions d’utilisation qui interdisent formellement la rétroingénierie. Pour dépasser ce mur, le GCHQ a réclamé des mandats lui permettant de s’affranchir des problèmes légaux. Portées par l’Intelligence Services Act (Section 5), ces autorisations permettent « l’interception, le décryptage et autres tâches liées ». Dans un document, le GCHQ note bien qu’en cas d’absence de mandat, il existe un risque que l’éditeur attaque l’agence en justice pour activité illégale sur son produit. The Intercept note cependant que l’ISA est une loi surtout créée pour les interceptions sur des réseaux sans-fil et que son utilisation pour s’attaquer à de la propriété industrielle est relativement nouvelle. Les premiers mandats pour rétroingénierie ont en effet été demandés, a priori, en 2008, notamment pour Kaspersky.
Concernant ce dernier, difficile de ne pas être tenté de faire un lien entre ces révélations et la récente attaque dont a été victime l’éditeur russe, qui a abouti à la découverte de Duqu 2.0. Pourtant, les méthodes décrites par les agences n’ont pas grand-chose à voir avec le scénario d’attaque utilisé. Elles ont ainsi surveillé les emails entrant chez l’éditeur pour repérer ceux qui étaient envoyés pour des raisons de support technique. En décrivant certains problèmes, les utilisateurs pouvaient renseigner la NSA par exemple sur un souci éventuel et donc une faille à exploiter. Plus problématique encore, la surveillance des échantillons de malwares pour vérifier que certains restaient exploitables à cause d’une mise à jour un peu tardive de la base de signatures dans l’antivirus.
Interrogé par The Intercept, Kaspersky a fait part de son indignation : « Il est extrêmement inquiétant que des organisations gouvernementales aient pu nous cibler plutôt que de concentrer leurs ressources contre des adversaires légitimes, tout en travaillant à subvertir les logiciels de sécurité qui nous gardent en sécurité ».
Le renseignement anglais entre surveillance illégale, rétroingénierie et manipulations
-
Le GCHQ condamné pour avoir gardé trop longtemps des données
-
Le groupe JTRIG, au cœur des opérations « sales »
-
« discréditer, promouvoir la méfiance, dissuader, décourager, retarder ou perturber »
-
De la rétroingénierie dans les antivirus pour y trouver des brèches
-
Accumuler toujours plus de failles à exploiter
-
Des mandats pour s'affranchir des barrières légales
Commentaires (25)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 23/06/2015 à 10h07
De plus en plus l’impression que les services de renseignements US et UK travaillent pour autre chose que la sécurité des Etats…
bon ok, la CIA l’a toujours fait " />
Le 23/06/2015 à 10h09
“souviens toi de ce 4 de novembre….” toussa toussa toussa " />
Le 23/06/2015 à 10h20
… en fait rien de nouveau aux pays des services de renseignements.
Du coté de nos services en France, les objectifs sont probablement toujours les mêmes (peut être pas les moyens financiers)
C’est John Le Carré 2.0… et le cul sur une chaise.
Le 23/06/2015 à 10h30
discréditer, promouvoir la méfiance, dissuader, décourager, retarder ou perturber
Ce n’est pas très vivre-ensemblesque pour le citoyen anglais, le pouvoir politique est normalement au service du peuple, pas le contraire.
Heureusement chez nous, pas de magouille, tout est au carré : le capitaine du pédalo est à la barre, manu à la pagaie, notre glorieuse administration gère le pays au cordeau et le peuple peut tranquillement siroter son pastis. Les moutons sont bien gardés.
Le 23/06/2015 à 10h34
Et donc, à quoi à été condamné le GCHQ? A une amende payable par le contribuable britannique? " />
Le 23/06/2015 à 10h38
Le 23/06/2015 à 11h08
ah mais c est pas vrai " />
" /> franchement qui est surpris ?
Le 23/06/2015 à 11h13
Qu’est ce qu’ils sont méchants. " />
Le 23/06/2015 à 11h19
C’est scandaleux ! " />
Rendez-nous le B ! " />
Le 23/06/2015 à 11h25
Question con… s’ils ont eu besoin de s’attaquer à Kapersky spécifiquement, cela signifie-t’il que les Symantec, Trend et autres collaborent ou qu’ils sont justes nuls?
Le 23/06/2015 à 11h28
Un mélange des deux est probable." />
Le 23/06/2015 à 11h59
Donc, on savait que les routeurs Cisco étaient vérolés, on savait que les systèmes Win et OsX étaient Backdoorés, maintenant on sait que les antivirus américains sont backdoorés aussi.
Use Linux.
Le 23/06/2015 à 12h00
Le 23/06/2015 à 12h06
De plus en plus l’impression que les services de renseignements US et UK de tous les pays travaillent conjointement pour converger vers un objectif commun pour le moins obscur. Et il ne semble plus rien avoir en commun avec une quelconque sécurité.
Le 23/06/2015 à 12h09
Parce qu’avec tout ce qui se passe ces temps-ci, tu crois vraiment que Linux est réellement tout blanc et en dehors de tout danger ? Je suis pas (encore) un “bon” sous Linux, mais je peux déjà penser que c’est un peu optimiste.
Le 23/06/2015 à 12h18
Si on te connaissait pas, on peut se dire que tu es un gros barbu.
Mais c’est juste un post poilu comme un " />
" />
Le 23/06/2015 à 12h31
Le 23/06/2015 à 13h22
les documents abordent par exemple CrypticDisk (Exlade)
Ca a l’air vachement bien… Closed-source, payant, et exploité par les agences de renseignement.
“Vous voulez vous faire mettre avec du gravier ? Cela vous coûtera 94 dollars.”
Le 23/06/2015 à 13h48
Ricard a écrit : Donc,
on savait que les routeurs Cisco étaient vérolés, on savait que les
systèmes Win et OsX étaient Backdoorés, maintenant on sait que les
antivirus américains sont backdoorés aussi.
Use OpenBSD
Le 23/06/2015 à 13h49
erase…
Le 23/06/2015 à 15h15
Le 23/06/2015 à 15h16
Le 23/06/2015 à 15h32
ben putain en tout cas ils sont forts ces terroristes islamistes incultes pour passer a travers les mailles de tous ces filets " />
ou alors on leur laisse des backdoors a eux aussi pour justifier ces manipulation de masses? " />
Le 23/06/2015 à 15h52
Le 23/06/2015 à 16h09