Comment Edward Snowden a récupéré les documents de la NSA

Comment Edward Snowden a récupéré les documents de la NSA

Un croisement de facteurs propices

Avatar de l'auteur
Vincent Hermann

Publié dans

Logiciel

27/08/2013 6 minutes
50

Comment Edward Snowden a récupéré les documents de la NSA

Tandis que les échos de l’affaire Prism continuent d’influer sur la politique et la diplomatie internationales, Edward Snowden continue de vivre en Russie. Mais alors que les révélations n’en finissent plus de pleuvoir sur les activités de la NSA, on en sait désormais plus sur la manière dont le lanceur d’alertes s’est procuré les documents qui ont eu tant de répercussions.

snowden

Edward Snowden

NSA : une sécurité intérieure trop faible 

Pour de nombreux lecteurs, Edward Snowden est simplement le nom de celui par qui le scandale est arrivé. Surveillance du trafic internet, des communications téléphoniques, piratages de routeurs, d’ambassades ou même des Nations Unies : la portée des documents ne cesse de surprendre. Mais le plus étonnant reste peut-être la manière dont Snowden s’est procuré ces dizaines de milliers de documents si sensibles qu’ils sont capables de provoquer des tensions diplomatiques.

 

Car globalement, Snowden n’a pas effectué un travail délicat et de longue haleine pour parvenir à ses fins. Il faut tout d’abord rappeler qu’il a bien travaillé à la NSA, mais comme consultant. Il a été employé par plusieurs entreprises, dont Dell, mais c’est son poste chez l’entreprise militaire privée Booz Allen Hamilton qui lui a permis de récupérer la quasi-totalité des documents. Comment ? Essentiellement grâce à son niveau d’accréditation et à une sécurité défaillante au sein de la NSA (National Security Agency).

 

C’est ce que révèle l’enquête de la NBC qui a recollé les morceaux disséminés grâce à des témoignages d’officiels du renseignement qui ont tenu à garder l’anonymat. Selon l’un d’entre eux, la sécurité au sein de la NSA laisse particulièrement à désirer : « Nous sommes en 2013 et la NSA est bloquée dans des technologies de 2003 ». Pour Jason Healey, qui travaillait il y a plusieurs années en tant qu’expert sur la cyber-sécurité dans l’administration Bush, la réputation de la NSA en matière de sécurité est surfaite : « Ils sont très forts pour certaines activités sophistiquées, mais sont étrangement mauvais sur certaines des plus simples ».

Un très haut niveau d'accréditation 

Plusieurs autres facteurs ont participé au coup de filet d’Edward Snowden. Le plus important est son niveau d’accréditation. Selon NBC, toute personne travaillant à la NSA possède un niveau d’autorisation lui permettant d’accéder à des documents classés top secret. Snowden était quant à lui un administrateur système, symbolisant le grade « ultime » de l’autorisation puisqu’il avait accès à toutes les données. Selon l’une des sources interrogées, les actions des administrateurs sont en grande majorité en dehors des audits : « À partir d’un certain degré, vous êtes l’audit ».

 

Autre facteur crucial : l’accès aux données. La collecte des documents s’est essentiellement faite une fois que Snowden a été employé par Booz Allen Hamilton. À ce moment, il se trouvait en effet à des milliers de kilomètres de la NSA, située à Fort Meade, dans le Maryland, puisque l’entreprise est installée à Honolulu, à Hawai. Snowden utilisait pour se connecter un client léger et son niveau d’accréditation lui permettait de ne laisser pratiquement aucune trace lors de ses interventions.

Concordance de facteurs 

Le croisement de ces facteurs a permis à Edward Snowden d’accéder aux données qu’il souhaitait, en dehors des heures d’ouverture classiques, grâce aux six heures de décalage horaire. C’est ainsi qu’il a pu utiliser les fameuses clés USB dont on savait déjà qu’elles avaient été le point de sortie des documents. Une activité qui, si elle avait dû être pratiquée à l’intérieur des locaux, avait déjà plus de chances d’être détectée. Là encore, l’utilisation des clés USB est normalement interdite pour les employés de la NSA, mais les administrateurs système ont ce privilège supplémentaire. Sans ce droit, les données de l’agence sont protégées par un « trou d’air » représentant un vide entre l’intranet et internet.

 

La chronologie des actes de Snowden n’est pour autant pas complète. Ainsi, si l’on sait que c’est à travers les autorisations fournies par son dernier poste qu’il a pu récupérer la grande majorité des documents, des sources ont indiqué le 15 août dernier à Reuters que des documents avaient déjà été téléchargés au moment où Snowden travaillait chez Dell, donc en 2012. Une information que le constructeur n’avait alors pas souhaité commenter.

Premier contact avec Glenn Greenwald en décembre 2012 

Le lanceur d’alertes aurait commencé à chercher un débouché pour ses documents à partir de la fin de l’année dernière. Il aurait pris contact une première fois avec Glenn Greenwald, puis avec Laura Poitras, qui réalisera plus tard la fameuse interview publiée par The Guardian. Mais il faudra plusieurs mois pour les rencontrer. En effet, deux mois à peine après avoir accepté le poste chez Booz Allen Hamilton (mars 2013), il prétexte un grave problème de santé pour poser un arrêt maladie. Il s’envole alors pour Hong-Kong et rencontre le 20 mai Glenn Greenwald et Laura Poitras. Son voyage à Hong-Kong marque alors le début de la médiatisation, il y a maintenant un peu plus de deux mois.

 

Pour l’une des sources de la NBC, le cas Snowden n’est techniquement pas étonnant : « Le renseignement américain a invité tellement de personnes dans le royaume du secret. Il y a potentiellement des tonnes d’Edward Snowden. Mais la plupart de ces gens n’ont pas envie de tout aspirer et d’enfreindre la loi ». Et il n’est pas étonnant non plus que la NSA ait annoncé des mesures radicales pour sa propre sécurité: une suppression de 90 % des administrateurs système, qui sont en grande majorité des consultants. Des intervenants qui perdront donc leurs privilèges, l’informatique prenant le relais.

 

Edward Snowden n’est certainement pas le dernier lanceur d’alertes. Cependant, l’itinéraire du consultant est suffisamment bien établi désormais pour que la NSA sache à quoi s’en tenir à l’avenir. L’agence limitera au maximum les interventions humaines techniques près des données sensibles, ne laissant ces dernières qu’entre les mains des analystes. Et tandis que la NSA répète à qui veut l’entendre qu’elle ne viole aucune loi, le reste du monde continue de se demander comment faire pour échapper à ses aspirateurs géants.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

NSA : une sécurité intérieure trop faible 

Un très haut niveau d'accréditation 

Concordance de facteurs 

Premier contact avec Glenn Greenwald en décembre 2012 

Commentaires (50)




Comment Edward Snowden a récupéré les documents de la NSA





bah un simple : copier/coller <img data-src=" />


Et ben voila à cause de lui 90% des admins de la nsa sont au chômage.



Heureusement pour la nsa que ces 90 n’est pas de corones parce que s’il diffusent tous ce qu’ils ont sur la nsa en même temps (tout le monde garde un truc de sa boite “au cas ou”), ça pourrait faire mal.




Et tandis que la NSA répète à qui veut l’entendre qu’elle ne viole aucune loi, le reste du monde continue de se demander comment faire pour échapper à ses aspirateurs géants.





Commencer par éradiquer tout ce qui est américain, privé, commercial et opaque de nos machines.


la façon dont Snowden a récupéré ces données me rappelle un peu le film “La Recrue” je ne sais pas pourquoi <img data-src=" />



au moins on en sait plus sur la façon dont il les a chopées et ça fait froid dans le dos, pour une agence supposée top niveau en sécurité…c’est plus une faille c’est un canyon <img data-src=" />








Yutani a écrit :



la façon dont Snowden a récupéré ces données me rappelle un peu le film “La Recrue” je ne sais pas pourquoi <img data-src=" />



au moins on en sait plus sur la façon dont il les a chopées et ça fait froid dans le dos, pour une agence supposée top niveau en sécurité…c’est plus une faille c’est un canyon <img data-src=" />







Ce qu’il faudrait savoir c’est si oui ou non il avait besoin d’être administrateur pour effectuer les tâches. Si oui, alors y a pas grand chose à faire.



Ah la la, si ce cas d’école pouvaient inciter les grosses boites françaises à embaucher plutôt que de ne prendre que des prestas <img data-src=" />



PS : Je suis dans la catégorie presta qui aimerait bien se faire embaucher spourça <img data-src=" />








Yutani a écrit :



la façon dont Snowden a récupéré ces données me rappelle un peu le film “La Recrue” je ne sais pas pourquoi <img data-src=" />



au moins on en sait plus sur la façon dont il les a chopées et ça fait froid dans le dos, pour une agence supposée top niveau en sécurité…c’est plus une faille c’est un canyon <img data-src=" />





Ce genre de canyon existe beaucoup plus qu’on ne le croit dans les SI.



On donne tous les droits pour ne pas avoir à gérer de problème de droits d’accès, les consultants de SSII ont accès aux mots de passes de comptes applicatifs ou techniques de production, etc…



C’est le cas à mon taf, même si les DSI sont de plus en plus sensibilisés aux problèmes de sécurité.





Et il n’est pas étonnant non plus que la NSA ait annoncé des mesures radicales pour sa propre sécurité: une suppression de 90 % des administrateurs système, qui sont en grande majorité des consultants. Des intervenants qui perdront donc leurs privilèges, l’informatique prenant le relais.



Quand?

Comment?



Cette mesure représente le nerf de la guerre pour la NSA.

Quelqu’un à plus d’infos sur le sujet?



Supprimer les administrateurs? Seulement les droits ou les postes?








maestro321 a écrit :



Quand?

Comment?



Cette mesure représente le nerf de la guerre pour la NSA.

Quelqu’un à plus d’infos sur le sujet?



Supprimer les administrateurs? Seulement les droits ou les postes?







“Des intervenants qui perdront donc leurs privilèges”

On parle bien des droits ici. Ca m’étonnerai qu’ils aient trop de consultant… par contre que les consultants est trop de droits c’est sur ^^









tAran a écrit :



Ah la la, si ce cas d’école pouvaient inciter les grosses boites françaises à embaucher plutôt que de ne prendre que des prestas <img data-src=" /> faire comprendre aux grosses boites françaises que la secu informatique ce n’est pas à prendre à la légère et que lorsque l’on traite les gens comme de la merde, qu’on rechigne à payer la moindre petite amélioration de son infra, il ne faut pas venir pleurer quand un cluster tombe , que la sauvegarde était hs car en cour de renouvellement depuis 24 mois et que la seule personne qui aurait pu faire remonter le cluster s’est barré 1 mois avant parce qu’on refusait de lui payer ses heures sup.



PS : Je suis dans la catégorie presta qui aimerait bien se faire embaucher spourça <img data-src=" />








Et tandis que la NSA répète à qui veut l’entendre qu’elle ne viole aucune loi, le reste du monde continue de se demander comment faire pour échapper à ses aspirateurs géants.



La NSA a malgré tout reconnu avoir enfreint la loi.



Après le renseignement en soi c’est déjà une activité limite niveau légal dans le principe donc c’est chaud de juger…




Des intervenants qui perdront donc leurs privilèges, l’informatique prenant le relais.





C’est génial … un système bloqué dans des technologies de 2003, qui va l’être encore plus par manque d’humains.



L’efficacité de leur outil va être terrible !








Yutani a écrit :



au moins on en sait plus sur la façon dont il les a chopées et ça fait froid dans le dos, pour une agence supposée top niveau en sécurité…c’est plus une faille c’est un canyon <img data-src=" />







Les cordonniers sont les plus mal chaussés <img data-src=" />









darkbeast a écrit :





<img data-src=" /> J’ai pensé tout ça moi ? <img data-src=" /> <img data-src=" />





La collecte des documents s’est essentiellement faite une fois que Snowden a été employé par Booz Allen Hamilton.

Il a mis les pieds dans la bouse… <img data-src=" /><img data-src=" /><img data-src=" />




Et tandis que la NSA répète à qui veut l’entendre qu’elle ne viole aucune loi, le reste du monde continue de se demander comment faire pour échapper à ses aspirateurs géants.

C’est simple, il suffit d’installer le logiciel NSA(No Spy Allowed)



<img data-src=" /><img data-src=" />








SHaKOoNeT a écrit :



La NSA a malgré tout reconnu avoir enfreint la loi.



Après le renseignement en soi c’est déjà une activité limite niveau légal dans le principe donc c’est chaud de juger…





Ils reconnaissent l’arbre au milieu de la forêt pour qu’on leur foute la paix,

càd ils donnent un os à ronger et ils agitent le drapeau rouge du FUD en détruisant des disques durs au Guardian.



Ils seraient bien foutus de tenter la nullité des preuves parce qu’elles ont été détuites et n’existent donc pas. La seule réponse à une tentative de muselage, c’est le bruit.



Balèze, chapeau !




Edward Snowden est simplement le nom de celui-ci par qui



Je crois qu’un “celui” tout court aurait suffi.




toute personne travaillait à la NSA possède



travaillant ?








Jarodd a écrit :



Les cordonniers sont les plus mal chaussés <img data-src=" />





cette expression est on ne peut plus adéquate <img data-src=" />









maestro321 a écrit :



Quand?

Comment?



Cette mesure représente le nerf de la guerre pour la NSA.

Quelqu’un à plus d’infos sur le sujet?





Oui, PC INpact par exemple <img data-src=" />



Humm,

Je bosse dans un endroit ultra sécurisé, il n’empêche, une fois les accréditations en main, t’es le king, tu fais ce que tu veux et personne ne s’occupe de toi parce que par défaut, tout le monde se dit que c’est super compliqué.

La faille, c’est le niveau de connaissances de tes supérieurs ou de tes clients.



Signé : un presta








tAran a écrit :



Ah la la, si ce cas d’école pouvaient inciter les grosses boites françaises à embaucher plutôt que de ne prendre que des prestas <img data-src=" />



PS : Je suis dans la catégorie presta qui aimerait bien se faire embaucher spourça <img data-src=" />









Bienvenu au club ! <img data-src=" />



Ça me tue que des prestataires de services privés aient les droits admin dans ce genre d’administration, avec des données aussi sensibles relevant de l’écoute, de la sécurité nationale etc… Comme le dit la news, autant de possibles sources de fuite, il y a peut-être des dizaines de Snowden dans la nature…











Winderly a écrit :



Je crois qu’un “celui” tout court aurait suffi.





Je crois qu’un bouton «Signaler» aurait suffi <img data-src=" />









umax a écrit :



Humm,

Je bosse dans un endroit ultra sécurisé, il n’empêche, une fois les accréditations en main, t’es le king, tu fais ce que tu veux et personne ne s’occupe de toi parce que par défaut, tout le monde se dit que c’est super compliqué.

La faille, c’est le niveau de connaissances de tes supérieurs ou de tes clients.



Signé : un presta





C’est pas nouveau, la faille c’est toujours l’ICC, la NSA vient le comprendre… A quand en entreprise? Car si divulgation il y a, ça ne sera pas dans le Guardian, mais à un concurrent, et tu le saura jamais!









Konrad a écrit :



Je crois qu’un bouton «Signaler» aurait suffi <img data-src=" />





Oui, mais j’aime tellement emmerder. <img data-src=" />









Jarodd a écrit :



Les cordonniers sont les plus mal chaussés <img data-src=" />







Ils n’ont pas froid et c’est du solide <img data-src=" />









tAran a écrit :



<img data-src=" /> J’ai pensé tout ça moi ? <img data-src=" /> <img data-src=" />







disons que c’est du vécu quand j’étais presta









Anartux a écrit :



Commencer par éradiquer tout ce qui est américain, privé, commercial et opaque de nos machines.







+1 on ne cessera pas de le répéter…









psn00ps a écrit :



Ils seraient bien foutus de tenter la nullité des preuves parce qu’elles ont été détuites et n’existent donc pas. La seule réponse à une tentative de muselage, c’est le bruit.





Le guardian a clairement indiqué avoir copié les disque pour pouvoir bosser en paix, donc les preuves sont toujours là :)



SYSadmin…

Quel beau métier <img data-src=" />








CryoGen a écrit :



Ce qu’il faudrait savoir c’est si oui ou non il avait besoin d’être administrateur pour effectuer les tâches. Si oui, alors y a pas grand chose à faire.





Chiffrer les documents ? Parce que bon, les sysadmins ont beau avoir accès à tous les fichiers, il n’est pas nécessaire qu’ils aient toutes les clés et mots de passe de chiffrement.



A moins que la NSA ait cassé RSA. <img data-src=" />



Quand on voit que la majorité des identifiants admin système et réseau sont basique ( login admin, mot de passe : password, admin, Password0)…

Sans parler des identifiants d’équipements réseau comme l’accès au mode root de switch qui restent ceux par défaut du constructeur.








Anartux a écrit :



Commencer par éradiquer tout ce qui est américain, privé, commercial et opaque de nos machines.





Faut virer :




  • Windows

  • Mac OS

  • BSD

  • Linux



    Bon, qui nous code un bon OS ou au moins un super noyau ? <img data-src=" />





    tAran a écrit :



    Ah la la, si ce cas d’école pouvaient inciter les grosses boites françaises à embaucher plutôt que de ne prendre que des prestas <img data-src=" />



    PS : Je suis dans la catégorie presta qui aimerait bien se faire embaucher spourça <img data-src=" />





    Le presta c’est pas le plus bas dans l’échelle, reste l’intérimaire <img data-src=" />

    Je dis ça, quand je vois des interimaire ayant accès a des données sensibles alors que la personne reste 2 mois <img data-src=" />





    Winderly a écrit :



    Oui, mais j’aime tellement emmerder. <img data-src=" />





    “Attention, tu vas avoir des problèmes toi !” <img data-src=" />





    Pikrass a écrit :



    Chiffrer les documents ? Parce que bon, les sysadmins ont beau avoir accès à tous les fichiers, il n’est pas nécessaire qu’ils aient toutes les clés et mots de passe de chiffrement.



    A moins que la NSA ait cassé RSA. <img data-src=" />





    Y’a un concours, enfin, y’avait, pour casser RSA. le calcul distribué c’est pas mal d’ailleurs pour ça <img data-src=" />



    AES ou RSA c’est pareil, si une faille existe ils la connaissent.

    Ou alors ils ont des algo encore meilleurs pour chiffrer leurs données. AES n’est pas validé pour le plus haut niveau de sécurité par exemple.





    taralafifi a écrit :



    Quand on voit que la majorité des identifiants admin système et réseau sont basique ( login admin, mot de passe : password, admin, Password0)…

    Sans parler des identifiants d’équipements réseau comme l’accès au mode root de switch qui restent ceux par défaut du constructeur.





    Bah c’est comme à la maison hein <img data-src=" />









the_Grim_Reaper a écrit :



Faut virer :




  • Windows

  • Mac OS

  • BSD

  • Linux



    Bon, qui nous code un bon OS ou au moins un super noyau ? <img data-src=" />









    Be OS ?











kaderkan a écrit :



Be OS ?





Boite US pour son dev <img data-src=" />









kaderkan a écrit :



Be OS ?







Pas besoin de chercher plus loin <img data-src=" />









tAran a écrit :



Ah la la, si ce cas d’école pouvaient inciter les grosses boites françaises à embaucher plutôt que de ne prendre que des prestas <img data-src=" />



PS : Je suis dans la catégorie presta qui aimerait bien se faire embaucher spourça <img data-src=" />





Tu as parfaitement raison. Quand je vois qu’on vire des gens du public (informaticiens) pour prendre des vacataires voire carrément tout filer au privé (des données pouvant être limite secret défense) en France, ça fait peur …









darkbeast a écrit :



Et ben voila à cause de lui la NSA90% des admins de la nsa sont au chômage.






Le 28/08/2013 à 08h 33







taralafifi a écrit :



Quand on voit que la majorité des identifiants admin système et réseau sont basique ( login admin, mot de passe : password, admin, Password0)…

Sans parler des identifiants d’équipements réseau comme l’accès au mode root de switch qui restent ceux par défaut du constructeur.







Qu’est-ce qui empêche les constructeurs/équipementiers d’obliger, à la première connexion à l’équipement, de devoir changer le login/password ?









tAran a écrit :



Ah la la, si ce cas d’école pouvaient inciter les grosses boites françaises à embaucher plutôt que de ne prendre que des prestas <img data-src=" />



PS : Je suis dans la catégorie presta qui aimerait bien se faire embaucher spourça <img data-src=" />







Surtout pas malheureux…



Ben quoi, j’suis presta qui souhaite rester presta :p









darkbeast a écrit :



Et ben voila à cause de lui 90% des admins de la nsa sont au chômage.



Heureusement pour la nsa que ces 90 n’est pas de corones parce que s’il diffusent tous ce qu’ils ont sur la nsa en même temps (tout le monde garde un truc de sa boite “au cas ou”), ça pourrait faire mal.





90% des admins ne servaient à rien et magiquement leurs systèmes vont ce mettre à marcher tout seul. <img data-src=" />









Gilbert_Gosseyn a écrit :



Tu as parfaitement raison. Quand je vois qu’on vire des gens du public (informaticiens) pour prendre des vacataires voire carrément tout filer au privé (des données pouvant être limite secret défense) en France, ça fait peur …







On peut pas les virer généralement.

Alors on leur fait faire de la paperasse, tout en filant des contrats juteux aux SS2I.

Super économies, pour le court terme ça crève les yeux <img data-src=" /> Pour le long terme, c’est au niveau des pertes de compétences et donc dans l’obligation de passer par des prestas pour tout et n’importe quoi que ça va piquer. Magnifique stratégie de dépendance programmée <img data-src=" />





Comment Edward Snowden a récupéré les documents de la NSA





Dans une corbeille <img data-src=" />








Winderly a écrit :



travaillant ?





Signalant ?

<img data-src=" /> le double sens va aussi avec la NSA



Le 28/08/2013 à 16h 41







josagama a écrit :



Dans une corbeille <img data-src=" />







Clic droit “restaurer les fichiers” <img data-src=" />









Droogs a écrit :



Qu’est-ce qui empêche les constructeurs/équipementiers d’obliger, à la première connexion à l’équipement, de devoir changer le login/password ?





C’est le cas pour certains équipements, ils n’ont donc pas de couple login/mot de passe par défaut.



Le 28/08/2013 à 16h 45







psn00ps a écrit :



C’est le cas pour certains équipements, ils n’ont donc pas de couple login/mot de passe par défaut.







Question bonus, est-ce le cas des équipementiers vendant des produits de sécurité? <img data-src=" />









psn00ps a écrit :



Signalant ?

<img data-src=" /> le double sens va aussi avec la NSA





<img data-src=" />

<img data-src=" /> je pense que ça le vaut