Le projet NSA-Observer

Pas Sage en Seine (PSES) est un programme de conférences et d’ateliers portant sur les technologies, habitudes et tendances de l’utilisation d’Internet avec un œil orienté sécurité et informatif. Parmi les différentes conférences, j’ai trouvé particulièrement intéressante celle du projet NSA-Observer.


NSA-Observer, qu’est ce que c’est ?

Depuis l’été 2013, le projet NSA-Observer a recueilli et traité plusieurs centaines d’informations désormais publiques sur la surveillance mondiale de la NSA, suite aux révélations d’Edward Snowden en grande partie. Lors de cette conférence, le fondateur de NSA-Observer Skhaen (@Skhaen) a présenté son projet et plus précisément des éclaircissements sur certains outils clés, vecteurs d’attaques ou documents “leakés” (fuités) par Edward Snowden. On comprend mieux lors de cette conférence l’importance et la criticité de ce que l’agence nationale de sécurité américaine est capable de faire.

NSA-Observer-02

Skhaen travail sur les documentations leakées par Edward Snowden depuis plusieurs mois, son projet prend naissance suite au fait qu’il n’y ait pas de base de données sur l’ensemble des révélations d’Edward Snowden, sa motivation a donc été de réunir et d’expliquer l’ensemble des informations récupérables sur les activités de la NSA. Aujourd’hui, son projet comporte 6 personnes et les détails de 437 programmes, 145 vecteurs d’attaque et 29 “sections” de la NSA. Le projet comporte son propre site web sur lequel il est possible de faire des recherches à propos des programmes en question, consultable en HTTPS : https://www.nsa-observer.net/

De plus, le site web https://nsa.imirhil.fr/pages permet la recherche de chaînes caractère dans l’ensemble des PDF qui ont fuités via Edward Snowden.

Des exemples d’action des “Five-Eyes”

Lors de cette conférence, plusieurs outils ou vecteurs d’attaques sont exposés. Cela ne représente bien sûr qu’une infime partie de ce qui est désormais public à propos de ces programmes et une partie encore plus infime de ce qui se trame réellement et actuellement dans les couloirs des agences de surveillance. On commence par apprendre l’existence des Five-Eyes, c’est à dire des 5 agences de renseignements qui travaillent ensemble de manière permanente et très étroite :

  • USA  avec la NSA
  • Royaume-Unis avec le GCHQ
  • Nouvelle-Zélande avec le GCSB
  • Canada avec le CSEC
  • Australie avec l’ASD

Parmi les outils et vecteurs d’attaques présentés, on peut relever :

  • Upstream : Il s’agit d’un programme visant principalement l’écoute systématique et l’enregistrement des communications passant par les câbles de fibre optique transatlantiques. On parle alors de collecte massive d’information comme les metadata, les données dites “internet”, les fax ou données téléphoniques… Les projets TAMPORA et RAMPART(-A) sont les équivalents de ce programme pour le GCHQ et les autres pays des Five-Eyes;
  • PRISM : Le programme PRISM est celui qui a eu le plus de retentissement médiatique aujourd’hui, il s’agit en faite d’une partie de l’ensemble des programmes et actions de l’agence de renseignement américaine. PRISM est l’équivalent de l’écoute massive Upstream sauf que les écoutes sont ici effectuées en accord avec les fournisseurs de services ou les hébergeurs de contenu, on peut par exemple citer Facebook, Yahoo! ou Google;
  • Muscular : Muscular est un programme visant le vol des données au sein des grands hébergeurs de contenu mais cette fois-ci sans leur accords. Ceux qui s’intéressent au sujet on sûrement déjà vu l’image suivante :

nsa-muscular-google

On voit qu’une fois que le trafic arrive dans les data-center de Google, celui-ci est déchiffré et passe donc en clair. Le programme Muscular s’oriente donc vers l’intrusion dans les échanges entre les data center pour capturer ce trafic déchiffré.

Outre les grands projets comme ceux cités précédemment, d’autres outils communément utilisés sont aussi exposés. On parle par exemple de TOR. En 2006, le GCHQ a créé une dizaine de nœuds TOR pendant plusieurs semaines, ayant ainsi la possibilité de voir ce qui transitait par ces noeuds par exemple.

  • Le projet MJOLNIR (qui pour l’anecdote est le marteau de Tor) est un programme des services de renseignements utilisant la possibilité de déterminer le chemin des paquets au sein du réseau Tor et ainsi de le faire passer par des nœuds qu’ils contrôlent par exemple.

Une technique expliquée lors de cette conférence est le détournement physique des objets numériques commandés via Internet. Lors de la commande d’un serveur ou d’un composant numérique tel qu’un smartphone, une disque dur ou un ordinateur par exemple, les services de renseignements interceptent le colis entre l’expéditeur et le client final afin d’y implanter des technologies d’espionnage ou de destruction. Il y a ensuite réintégration du colis et son contenu dans le circuit d’expédition. Les composants numériques pensés et fabriqués par la NSA et présents en partie dans le document “ANT NSA Catalog”  peuvent alors récolter des informations et mener des actions en recevant des ordres distants des équipes de la NSA.

Études des techniques de protections

Suite aux explications et à l’exposition des précédents outils, dont la liste n’est pas exhaustive pour garder l’intérêt de regarder la conférence, la discussion s’oriente plus vers les techniques de “protection”. On ne parle alors pas de se rendre totalement invisible aux yeux des agences de renseignement, mais plus de faire en sorte que l’action de tous contribue à rendre leur travail et l’espionnage massif plus long et complexe.

Note : C’est, au passage, la philosophie générale du monde de la sécurité au niveau de la défense. Les systèmes de sécurité visent à ralentir et complexifier le plus possible la tâche de l’attaquant pour au final le décourager.

Les dires de Skhaen vont alors dans le sens des différentes annonces d’Edward Snowden, à savoir qu’aujourd’hui, le chiffrement est la protection la plus efficace contre les écoutes massives. Les flux chiffrés prennent aujourd’hui trop de temps et de ressources lors d’une écoute massive. Le fait est que ce qui est vulnérable lors d’une communication est souvent les points finaux, qui eux comportent des vulnérabilités.

On a également l’explication d’une entre-aide à ce niveau, à savoir le “Name & shame”. Le principe est de signaler et d’aider les entreprises, sites ou systèmes que l’on sait vulnérable afin de rendre la sécurité globale de meilleure qualité. On prend par exemple le site SSL-Labs qui permet de facilement évaluer le degré de qualité d’un site en HTTPS puis de donner des astuces et conseils pour améliorer la configuration globale et ainsi la protection des systèmes qui sont derrière.

Enfin, le speaker propose d’aider les communautés libres tel que LibreSSL dans leur développement et dans leur financement, afin de faire en sorte qu’ils deviennent des produits reconnus et qu’ils obtiennent les fonds nécessaires à leur développement. Il s’agit là encore d’une action collective qui permettrait de rendre l’ensemble des produits plus sécurisés. Outre cet aspect, le projet NSA-Observer a également besoin de monde pour traduire, comprendre et référencer les différentes informations qui fuites de la NSA.

La conférence se termine par quelques questions/réponses autour des différents produits associés et des programmes de la NSA, les discussions tournent alors autour du produits SSL-Labs et de TOR principalement

Je laisse ici le lien de la vidéo de la conférence nsa-observer de Pas Sage en Seine 2014 disponible sur le site numaparis.ubicast.tv

Bon visionnage !

Vous aimerez aussi...

1 réponse

  1. skhaen dit :

    Coucou,

    Merci pour le retour sur la conférence, pour les personnes que ça intéressent, il y a une mailing list dispo ici : https://laquadrature.net/cgi-bin/mailman/listinfo/nsaobserver et un github là : https://github.com/nsa-observer

    Pour finir, les slides de la conférences sont sur http://pses2014.libwalk.so/#/ (le code des slides (en revealjs) est sur : https://github.com/skhaen/nsaobserver-slides-pses2014).

    Si vous avez des questions n’hésitez pas 🙂

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *