Le GHCQ, l’agence anglaise de renseignement, vient d’être condamnée par un tribunal pour avoir gardé trop longtemps des données interceptées auprès de deux ONG. Dans le même laps de temps, de nouveaux documents montrent jusqu’où l’influence de l’agence peut s’étendre, et comment elle a coopéré avec la NSA pour s’introduire dans certains antivirus, dont celui de Kaspersky.
Le GCHQ condamné pour avoir gardé trop longtemps des données
Pour la première fois, le GCHQ (Government Communications Headquarters) vient d’être condamné par un tribunal pour avoir outrepassé les propres limites qu’il s’était fixées. L’agence anglaise de renseignement effectue régulièrement des opérations pour capturer des données dans ses filets. Ces procédures sont validées par différents commissaires ainsi que par le Parliamentary Intelligence and Security Committee. Pour le stockage des données en revanche, le GCHQ opère selon ses propres règles, qu’il ne respecte pas forcément.
Le journal The Guardian indique ainsi que l’IPT (Investigatory Powers Tribunal) a déclaré illégale la durée de conservation des données interceptées auprès de deux ONG, l’Egyptian Initiative for Personal Rights et le South African non-profit Legal Resources Centre. Dans les deux cas, l’IPT a jugé qu’il n’y avait pas de problèmes avec le type de données ou la « proportionnalité » de l’action face au contexte. Cependant, l’agence a brisé ses propres règles puisque les données sont stockées depuis nettement plus longtemps qu’elles ne l’auraient dû.
Le GCHQ a pour obligation la destruction immédiate des données concernées. Le tribunal a en outre ajouté que des mesures devaient « être prise pour s’assurer qu’aucune de ces deux brèches de procédure ne puisse à nouveau survenir ». D’ailleurs, l’IPT indique qu’un rapport précis sera envoyé au Premier ministre.
Pour la dizaine d’associations de défenses des droits civiques, la condamnation du GCHQ est évidemment une grande nouvelle. Privacy International, Liberty, Amnesty International, ou encore l’ACLU (American Civil Liberties Union) l'attendaient avec impatience. Pourtant, pour le directeur de Privacy International, Eric King, la situation reste clairement problématique : « Si l’espionnage des ONG de défense des droits de l’homme n’est pas hors de portée du GCHQ, alors qu’est-ce qui l’est ? Nos agences se sont clairement égarées. Depuis trop longtemps elles se voient confier trop de pouvoirs, avec trop de peu de règles pour se protéger des abus. Combien d’autres problèmes avec les procédures secrètes du GCHQ devront être révélés pour que l’agence soit placée sous contrôle ? » s’insurge-t-il.
Le groupe JTRIG, au cœur des opérations « sales »
Parallèlement, toute une flopée de documents d’Edward Snowden fait son apparition, notamment chez The Intercept. Plusieurs informations concernent le JTRIG, un groupe d’analystes et de hackers aux missions assez peu orthodoxes. On se rappellera comment a été organisée la traque de plusieurs membres des mouvances Anonymous et LulzSec, les agents se faisant passer pour des pirates, attirant les cibles dans des pièges et bombardant des canaux IRC via des attaques par déni de service.
Détaillées par The Intercept, les nouvelles informations montrent comment l’agence s’est imprégnée de psychologie pour mieux parvenir à ses fins : comment cerner les cibles, comprendre leurs motivations et leur fonctionnement, trouver et exploiter des failles dans leurs habitudes, manipulations des opinions et diverses influences font ainsi partie des méthodes employées. Contre quelles cibles ? Hacktivistes, voleurs d’informations au sens large, pédophiles, soutien judiciaire, groupes extrémistes locaux et ainsi de suite.
« discréditer, promouvoir la méfiance, dissuader, décourager, retarder ou perturber »
L’un des points les plus intéressants est la manière dont le groupe JTRIG communique avec divers services du Royaume-Uni pour leur apporter des informations pertinentes. Les forces de l’ordre peuvent ainsi recevoir des données pour améliorer « la justice civile et familiale », le Department for Children, Schools and Families peut se voir indiquer des risques de radicalisation, la Banque d’Angleterre peut recevoir des informations sur les fraudeurs, etc.
En fait, les documents montrent surtout comment le GCHQ dispose de mandats dépassant de loin ses attributions premières, portées sur le renseignement étranger et les méthodes utilisées pour tromper les cibles : envoi d’une vidéo sur YouTube contenant un langage précis, mise en place de groupes Facebook, forums, blog et comptes Twitter, créer de fausses identités pour soutenir d’autres comptes, préparer de faux sites ou magazines pour colporter de fausses informations, envoyer des messages à certaines cibles pour les leurrer avec des informations « non-censurées », prise de contrôle de certains sites, attaques par déni de service, etc. L’ensemble de ces actions vise toujours le même objectif : « discréditer, promouvoir la méfiance, dissuader, décourager, retarder ou perturber ».
De la rétroingénierie dans les antivirus pour y trouver des brèches
D’autres documents ont révélé par ailleurs comment le GCHQ et la NSA s’étaient associés pour effectuer des opérations systématiques de rétroingénierie contre les logiciels de sécurité de plusieurs dizaines d’éditeurs. Sont particulièrement touchées les sociétés produisant des antivirus, notamment F-Secure (Finlande), Eset (Slovaquie), Avast (République Tchèque) ou encore Kaspersky (Russie). Curieusement, les entreprises américaines Symantec et McAfee, ainsi que l’éditeur anglais Sophos sont absents de la liste. Pare-feu, outils de chiffrement et autres solutions de sécurité sont également de la partie.
Mais pourquoi s’attaquer à ces produits ? Parce que les deux agences de renseignement estiment qu’ils sont en travers de leur route. L’un des documents explique par exemple qu’un antivirus comme Kaspersky (nommé en exemple) empêche le GCHQ de profiter pleinement de ses capacités CNE (Computer Network Exploitation) : « la rétroingénierie logicielle est essentielle pour nous permettre d’exploiter [des failles] dans de tels logiciels et pour prévenir la détection de nos activités ».
Accumuler toujours plus de failles à exploiter
On se retrouve une fois de plus dans le contexte d’une agence de renseignement effectuant un travail dont la finalité pose un risque réel de sécurité pour les utilisateurs. La NSA est par exemple connue pour garder dans son giron toutes les failles de sécurité de type 0-day en vue de les exploiter au cours de diverses opérations. Plus récemment, la Navy avait même publié une annonce appelant des prestataires à lui vendre de telles brèches, toujours dans le même objectif. De fait, ces nouvelles révélations ne devraient pas poser de soucis, puisque l’annonce de la Navy abordait justement le cas des antivirus.
Ces opérations de rétroingénierie touchent par ailleurs de nombreux autres produits, et les documents abordent par exemple CrypticDisk (Exlade), eDataSecurity (Acer), les systèmes de forums vBulletin et Invision Power Board, CPanel ou encore PostfixAdmin. On sait en outre que les routeurs Cisco sont passés entre les mains du GCHQ et qu’il y a eu des conséquences, puisque l’agence anglaise a pu atteindre « presque n’importe quel utilisateur Internet » au Pakistan.
Des mandats pour s'affranchir des barrières légales
La plupart des logiciels s’accompagnent de conditions d’utilisation qui interdisent formellement la rétroingénierie. Pour dépasser ce mur, le GCHQ a réclamé des mandats lui permettant de s’affranchir des problèmes légaux. Portées par l’Intelligence Services Act (Section 5), ces autorisations permettent « l’interception, le décryptage et autres tâches liées ». Dans un document, le GCHQ note bien qu’en cas d’absence de mandat, il existe un risque que l’éditeur attaque l’agence en justice pour activité illégale sur son produit. The Intercept note cependant que l’ISA est une loi surtout créée pour les interceptions sur des réseaux sans-fil et que son utilisation pour s’attaquer à de la propriété industrielle est relativement nouvelle. Les premiers mandats pour rétroingénierie ont en effet été demandés, a priori, en 2008, notamment pour Kaspersky.
Concernant ce dernier, difficile de ne pas être tenté de faire un lien entre ces révélations et la récente attaque dont a été victime l’éditeur russe, qui a abouti à la découverte de Duqu 2.0. Pourtant, les méthodes décrites par les agences n’ont pas grand-chose à voir avec le scénario d’attaque utilisé. Elles ont ainsi surveillé les emails entrant chez l’éditeur pour repérer ceux qui étaient envoyés pour des raisons de support technique. En décrivant certains problèmes, les utilisateurs pouvaient renseigner la NSA par exemple sur un souci éventuel et donc une faille à exploiter. Plus problématique encore, la surveillance des échantillons de malwares pour vérifier que certains restaient exploitables à cause d’une mise à jour un peu tardive de la base de signatures dans l’antivirus.
Interrogé par The Intercept, Kaspersky a fait part de son indignation : « Il est extrêmement inquiétant que des organisations gouvernementales aient pu nous cibler plutôt que de concentrer leurs ressources contre des adversaires légitimes, tout en travaillant à subvertir les logiciels de sécurité qui nous gardent en sécurité ».