NSA : échecs et fuite de Red Disk, un cloud dédié au renseignement

Alors que la NSA est déjà engluée dans une longue série de fuites d’informations depuis 2013 avec Snowden, d’autres informations sont apparues cette semaine sur Red Disk. Une erreur humaine a conduit à la révélation d’une infrastructure complète de gestion des données de renseignement servant également à l’armée.

La mauvaise passe de la NSA continue, avec des révélations provenant du même genre d’erreur humaine qui avait déjà permis aux pirates Shadow Brokers de récupérer des outils et failles 0-day parfaitement exploitables. Car c’est en laissant ouverte une instance de stockage Amazon Web Services que l’agence a laissé fuiter Red Disk.

Ce nom recouvre un concept global de plateforme d’échange d’informations diverses sur tout ce qui touche au renseignement, partagée essentiellement entre l’agence américaine et l’armée. Plus précisément, Red Disk provient de l’INSCOM, pour Intelligence and Security Command, une division appartenant aux deux entités.

Un cloud dédié au renseignement

Red Disk a pu être récupéré par un nombre indéterminé de personnes, puisque l’accès était libre à qui savait où chercher. La société de sécurité UpGuard a pu mettre la main dessus et a livré ses observations au sein d’un billet de blog.

C’est Chris Vickery, directeur de recherche, qui se colle à l’exercice. Il évoque notamment une image disque à décompresser et contenant un très grand nombre de données intéressantes. Certaines parties sont incapables de fonctionner en l’état car elles réclament des systèmes matériels spécifiques et/ou des autorisations du Pentagone. Elles présentent toutefois assez d’informations pour brosser un portrait général, tandis que certains fichiers sont directement exploitables, comme une machine virtuelle basée sur Red Hat Linux.

Red Disk est donc une infrastructure de gestion de l’information, qui peut revêtir de nombreuses formes : rapports, photos, surveillance satellite, signaux radar, vidéos de caméras de surveillance ou de drones, fichiers audios, etc. Elle permet à la fois l’entrée des informations et leur filtrage en vue d’être ensuite redistribuées vers des analystes s’ils disposent des accréditations suffisantes.

Crédits : UpGuard

Elle se présente un peu comme un cloud dédié au renseignement, avec pour objectif de pouvoir être utilisé par tous ceux qui en ont besoin, quelle que soit leur position dans la hiérarchie : espions, analystes, décideurs ou même soldats. Le profil de l’utilisateur débloque ainsi les fonctions associées. Comme l’indique Chris Vickery, Red Disk a été pensé pour permettre au Pentagone d’avoir toujours une vue d’ensemble pour une situation donnée, afin notamment de pouvoir guider les troupes le plus efficacement possible.

Décrit comme modulaire et personnalisable, Red Disk devait également être en capacité de s’étendre autant que nécessaire, pour suivre les besoins futurs. Le système complet est une énorme entité devant en outre gérer les droits puisqu’il permet de marquer des informations comme classées secret défense. Le tout dans une base de données indexée avec assez de granularité pour faire des recherches à facteurs multiples.

Toujours selon UpGuard, on trouve également dans l’image des outils de reconnaissance vocale – probablement pour dicter des rapports – et de synthèse vocale, pour se faire lire des informations quand regarder l’écran n’est pas possible.

Les restes d’un échec ?

« Red Disk » n’est cependant pas un nom nouveau. On en trouve notamment mention dans un article d’Associated Press datant d’octobre 2014. Il y était évoqué comme un projet particulièrement dispendieux – la somme de 93 millions de dollars est avancée – conçu pour compléter une infrastructure défaillante.

L’article, peu amène, évoque la manière dont certains acteurs ont « profité d’un échec ». Red Disk était ainsi prévu pour être le composant cloud du DCGS (Distributed Common Ground System), dont l’objectif était déjà de fournir les bonnes informations, au bon moment à la bonne personne. Selon un rapport de test de 2012 toutefois, le système s’était révélé particulièrement instable et très difficile d’utilisation.

DCGS et Red Disk sont par ailleurs le résultat d’appels d’offres, donc de développements réalisés par des entreprises. Le premier existe d’ailleurs depuis longtemps (plus de 13 ans) et avait eu le temps de produire de nombreux rapports de pannes. Des noms comme Potomac Fusion, Invertix (aujourd’hui Altamira) et General Dynamics sont ainsi pointés, tous participants au développement à un moment de l’histoire du DCGS.

Red Disk semble dans tous les cas considéré comme un échec, particulièrement au vu des sommes mises sur la table. Associated Press insiste sur la dimension de gâchis et la manière dont certains responsables ont su s’enrichir via les participations et reventes de ces entreprises. Russell Richardson, qui fut à la tête de deux d’entre elles, estimait cependant que les contribuables américains en avaient « eu pour leur argent ».

Des problèmes multiples pour la NSA

La publication des informations sur Red Disk est un nouveau coup dur pour la NSA, autant que pour l’armée d’ailleurs. Les révélations faites par Chris Vickery n’ont pas le caractère sulfureux des publications d’Edward Snowden ou des Shadow Brokers. Elles décrivent après tout une infrastructure technique de gestion du renseignement, non des mécanismes d’espionnage ou des failles de sécurité.

Cependant, ces informations viennent s’ajouter aux autres, avec probablement la désagréable impression pour la NSA que le reste du monde finira bientôt par connaître son organisation et ses projets dans les moindres détails. En outre, les différents articles et analyses montrent une gestion peu glorieuse d’un système conçu pour rendre d’inestimables services mais conçu et réalisé dans l’urgence, avec de très nombreux problèmes à la clé.

Comme si la coupe n’était déjà pas assez pleine, la récupération de ces informations montre encore une fois un défaut de sécurisation des accès. Les Shadow Brokers avaient déjà dérobé des fichiers sur un serveur laissé plus ou moins en accès libre. L’erreur est ici du même acabit, même si le problème se retrouve un peu partout, les instances Amazon (ou Azure) étant parfois créées puis pratiquement laissées à l’abandon. Ajoutons qu'il y a tout juste quelques jours, UpGuard avait déjà révélé que des espaces S3 de stockage avaient été laissées ouvertes de la même manière par la société TigerSwan, pour le compte du département américain de la Défense.

Quand Donald Trump pestait contre le niveau général de la sécurité

Difficile de ne pas repenser aux propos de Donald Trump en janvier dernier, quand il dressait un triste bilan de la sécurité générale aux États-Unis. Il décrivait alors un pays « piraté par tout le monde », des systèmes SCADA et des OIV dont les défenses n’étaient clairement pas au niveau, sans parler de la vaste affaire de l’ingérence russe, qui commençait alors. Difficile de nier que certaines décisions cadrent mal avec une nation maitresse de ses protections quand des instances Amazon aussi sensibles sont laissées ainsi ouvertes.

Il est probable également que ces informations fassent davantage réagir le public américain, car si de nombreuses révélations visaient l’étranger jusqu’à présent, il est question cette fois de leurs impôts.

Quant à la NSA et à l’armée américaine, un début de réponse pourrait venir d’une interdiction simple : ne pas se reposer sur des produits publics comme ceux d’Amazon.