La NSA surveille les réseaux de la Corée du Nord depuis 2010

Des informations dévoilées par le New York Times et Der Spiegel permettent de mieux comprendre les capacités de la NSA dans la cyberguerre. Non seulement l’agence s’octroie la possibilité d’utiliser les outils de ses alliés en les détournant à son avantage, mais elle pourrait bien avoir fourni la preuve au FBI que la Corée du Nord était bien impliquée dans le piratage de Sony Pictures.

Le piratage de Sony Studio au centre de l'attention

Le piratage de Sony Pictures a marqué le début d’un véritable roman d’espionnage et de chasse aux cyber-terroristes. Le studio s’est fait dérober plus de 11 To de données, parmi lesquelles des films qui n’étaient pas encore sortis au cinéma. Malgré de nombreux doutes, c’est la piste de la Corée du Nord qui a fini par être retenue officiellement, et le FBI n’a de cesse depuis d’appuyer en ce sens. Pour autant, très peu de preuves ont été fournies, le Bureau n’ayant pas souhaité non plus éclaircir certaines zones d’ombre tenaces.

La question qui reste pour beaucoup aujourd’hui est de savoir comment le FBI peut-il être à ce point persuadé de l’implication directe de la Corée du Nord. James Comy, directeur du Bureau, a indiqué il y a une dizaine de jours que les informations fournies par la communauté du renseignement confirmaient l’hypothèse et que le doute n’était plus permis. Dans le même temps, il expliquait qu’il était délicat d’en dire davantage sans mettre en danger les capacités de détection et d’intrusion du pays.

La NSA était-elle au courant de l'attaque en préparation ?

Le New York Times et Der Spiegel ont eu moins de scrupules, et pour cause : il s’agit simplement de pavés supplémentaires dans la longue route des révélations de Snowden. Le journal américain révèle ainsi que la NSA a la capacité d’espionner les réseaux nord-coréens depuis 2010 déjà. Les analystes peuvent se glisser dans certaines connexions depuis la Chine et même détourner les outils de surveillance de la Corée du Sud pour remplir leurs objectifs.

La NSA s’est en fait servi de plusieurs malwares dont la mission était de traquer l’activité des hackers de Corée du Nord, dont le nombre est estimé à 6 000 environ. De là, une question troublante : l’agence était-elle capable de détecter qu’une opération était en préparation contre Sony Pictures ? Les analystes n’ont peut-être pas pu assurer une surveillance constante, auquel cas cette opération serait passée inaperçue. Il y a peut-être eu également négligence de la part de l’agence. Ou bien les préparatifs ont pu encore être faits hors des radars. De nombreuses pistes peuvent être explorées, mais aucune réponse ne peut encore être apportée.

Le New York Times suggère en outre que la perception de la réalité de la Corée du Nord agit parfois comme un prisme déformant. Il rappelle ainsi que Jang Sae-yul, ancien développeur pour l’armée nord-coréenne, avait expliqué à Séoul en 2007 que son ancien pays avait développé ses capacités de piratage durant les trente dernières années et qu’il pouvait très bien déclencher des attaques contre un pays en particulier.

L'agence dispose d'un arsenal complet de défense

Ce n’est pourtant pas faute de disposer de moyens techniques précis, comme le révèle Der Spiegel. Le journal allemand propose sa propre fournée d’informations issues des documents d’Edward Snowden, et ils sont cette fois plus techniques. Y sont expliquées les raisons de la création du Remote Operations Center, à savoir les Tailored Access Operations qui permettent de se faufiler dans virtuellement n’importe quel système distant, par tous les moyens disponibles. Der Spiegel dispose même d’un échantillon de malware (un keylogger, pour enregistrer les frappes au clavier), a priori développé de concert par les Five Eyes : États-Unis (NSA), Canada (Communications Security Establishment), Royaume-Uni (GCHQ), Australie (Signals Directorate) et Nouvelle-Zélande (Government Communications Security Bureau).

Plusieurs programmes de surveillance sont cités, notamment Turbine et Turmoil, et sont reliés à un autre, Tutelage, créé pour surveiller les connexions entrantes et sortantes des réseaux militaires et donc détecter d’éventuelles attaques contre le Département de la Défense (DoD). Ainsi, si une attaque a lieu, l’ensemble de ces défenses peut travailler à la reconnaissance des méthodes utilisées et à la réorientation vers de fausses cibles, équipées de systèmes capables de capturer les malwares pour analyse.

Des informations de sources tierces, quatrièmes, cinquièmes...

Mais la NSA peut surtout attaquer et chercher des informations de manière proactive. Elle dispose évidemment de différentes sources d’informations, plus ou moins directes. Certaines viennent de sources tierces avec lesquelles existent des accords croisés d’échanges, mais l’agence dispose également de « sources quatrièmes » ou même « cinquièmes ». Il s’agit de tiers, puissances alliées ou non, dont les propres outils de surveillance servent en sous-marin à ceux de la NSA, pour répandre par exemple un malware. La NSA peut même récupérer des informations depuis un réseau piraté par un autre réseau, qu’elle aura elle-même infiltré.

Dans le cas de la Corée du Nord, ce sont en particulier les installations de sa sœur du Sud qui ont été utilisées. Elle avait en effet réussi à poser des balises chez sa voisine du Nord pour surveiller des personnes précises. La NSA a donc pu récupérer ces informations via ses propres méthodes (source quatrième), mais s’est rendu compte que les mêmes personnes étaient également surveillées par leur propre pays : l’agence a donc récupéré également ces données (source cinquième). Dans une discussion extraite depuis un intranet de la NSA, on apprend même que la pêche aux informations peut se transformer en chasse aux « trésors », notamment dans le cas d’une faille 0-day inconnue utilisée par un tiers pour frapper une cible. Auquel cas, la NSA récupère les informations sur cette brèche et peut s’en servir ensuite contre d’autres cibles.

Der Spiegel décrit dans son article une intense guerre de l’ombre, dans laquelle les combats font rage presque hors d’atteinte des lois. Le journal allemand précise ainsi que les agences de renseignement fonctionnent toutes désormais sur le mode du « démenti plausible », en cherchant toutes à atteindre le Saint Graal : rendre impossible l’identification des auteurs des attaques. Ce qui permet à ces dernières de continuer, un responsable politique pouvant toujours les nier avec véhémence.