NSA : nouveau syndrome d’accumulation

Au moment où nous écrivons (seconde semaine de janvier), les Français semblent se préoccuper des indiscrétions de Closer et des atteintes à la vie privée du président. Nous ferions sans doute mieux de nous soucier de l’espionnage de la NSA contre lequel le même président n’a guère protesté (même lorsqu’il fut révéle que nos alliés américains avaient infiltré les communications de l’Élysée en piratant son Intranet, dans les derniers jours du règne de son prédécesseur, cf. plus loin). Car c’est bien plus que notre vie privée à nous citoyens qui est violée et il est un stade où la surveillance totale correspond à un projet d’anticipation totale donc de domination absolue.

Le plus fascinant dans l’affaire qui dure depuis juin, est que la source ne semble jamais tarie et que chaque matin nous découvrons la dimension quasi métaphysique du projet de surveillance planétaire (se doter de « l’œil de Dieu« , comme disent les militaires américains, sauf qu’ici il faudrait aussi parler de l’oreille, de la mémoire, de l’omniscience et de la faculté d’anticipation de Dieu). Pour ne pas dire sa dimension psychanalytique (le nom savant pour cette lubie de tout accumuler est syllogomanie).

Dernières révélations au moment où Barack Obama s’apprête à prononcer un discours sur la réforme de la NSA (sur la base de recommandations qui lui ont été faites par un comité spécial, pas exactement composé de hackers libertaires).

-Les médias reviennent sur le programme dit Quantuminsert (déjà révélé par le Spiegel vers mi-décembre). Il ne s’agit de rien de moins que d’une attaque de la NSA contre le câble SEA-ME-WE4, crucial pour le fonctionnement d’Internet, géré par un consortium et dont le TAO (office of Tailored Access Operations, l’équipe de hackers d’élite de la NSA) . Ce qui veut dire qu’outre l’accès « légal » ou « officiel » des câbles par les cousisn britanniques du GCHQ, il y aurait un accès clandestin.

-Le New York Times nous apprend que la NSA utilise depuis 2008 un programme qui lui permettrait d’espionner des ordinateurs même non connectés à Internet, 100.000 dit-on. Pour ce faire, il faut utiliser un dispositif physique, une clef USB truquée, un circuti (éventuellement installé par le fabriquant), bref une sorte d’émetteur qui est capté à quelques kilomètres de distance par une station d’écoute. C’est le programme Quantum qui permet donc de cibler les ordinateurs, même si leur propirétaire est méfiant et refuse de se brancher sur le Net pour ne pas être infecté ou intercepté. Une telle stratégie n’a de sens que si l’on vise les appareils d’un individu ou d’une organisation bien précis et si l’on dispose d’un moyen de les atteindre physiquement (comme les anciens poseurs de micros et autres « plombiers » de l’ère pré-numérique).

– N’oublions pas le programme dit « Dishfire » qui recueillerait 200 millions de SMS par jour dans le monde. Contrairement au dispositif précédent, il s’agit là de « pêche au filet » consistant à recueillir indistinctement un peu ttout ce qui circule sur les réseaux pour trier après et retrouver de précieuses aiguilles dans ces bottes de foin. Selon Channel 4, ce travail serait mené principalement par le GCHQ dans un cadre légal et accessoirement par la NSA qui jure ses grands dieux qu’elle ne recueille que des échanges de non Américains pour respecter la constitution (au fait comment savent-ils qui est ou n’est pas citoyen de leur beau pays ?) ou plus exactement qu’elle expurge tout ce qui concerne ces citoyens ou des « innocents » (au fait, comment font-ils, etc…)

Toujours selon la même source, il s’agirait de recueil , stockage et mise en corrélation de métadonnées (qui a été en contact avec qui, quand, d’où à où, etc.) et non du contenu même des communications. Ce qui n’a rien de rassurant : espionner du contenu (ce qui prend un temps énorme d’analystes pour comprendre ce qui se dit, même avec l’aide de logiciels sémantiques) n’est pas toujours aussi efficace que de brasser des millions de métadonnées. Isolément, elles ne signifient pas grand choses, mais à une échelle de Big Data, elles permettent de retracer des réseaux entiers de contacts. Nos liens (leur intensité, leur fréquence, leur géolocalisation..) en apprenent souvent énormément sur qui nous sommes, quelles sont nos habitudes et surtout qui est en contact avec qui.

Et tout cela au moment où une étude très sérieuse de la New American Foundation démontre que la colossale entreprise de collecte et croisement de milliards de données entreprise par l’adminsitration américaine n’a pas où guère d’impact sur le terrorisme. Peu d’attentats empêchés ou de suspects arrêtés et, quand cela se produit, le mérite en revient presque toujours à du renseignement « humain » voire à de bons vieux informateurs grassement payés et aux méthodes à l’ancienne de la chasse aux terroristes.

Et quand bien même ce serait le cas, il serait permis de s’interroger sur le retour sur investissement de ces dizaines de milliards de dollars dépensés chaque année pour violer notre vie privée et espionner institutions et entreprises : les statistiques montrent que les Amércains qui meurent du fait du terrorisme, n’importe où dans le monde (une dizaine) sont moins nombreux que ceux qui meurent écrasés par un téléviseur ou une armoire qui leur tombe dessus !

Bien sûr, les esprits soupçonneux pourraient dire que tout ce bazar ne sert pas principalement à chasser des jihadistes, et qu’il y a un peu d’espionnage économique ou géopolitique derrière tout cela. Mais ce sont vraiment des esprits soupçonneux !

Pendant presque la moitié de l’année 2013, les révélations sur la NSA ont nourri une actualité ininterrompue. Il est possible que Snowden ait encore conservé quelques diapositives de ces présentations Powerpoint avec lesquelles les agent de la National Security Agency essayaient de se représenter la complexité de leur propre système (et il n’est pas certain qu’il y aient réussi). Certes, on ne peut exclure d’autres découvertes sensationnelles en 2014 ; mais que pourraient-ils faire de plus, eux qui piratent les câbles et les ordinateurs, qui géolocalisent et pénètrent les téléphones portables, possèdent nos données et nos métadonnées, s’allient aux services amis et espionnent leurs gouvernants, ouvrent des « portes de derrière » chez les fournisseurs d’accès et les opérateurs, sont des milliers et dépensent des milliards, combinent les moyens d’une hyperpuissance et les ruses d’équipes de hackers, prospèrent sous Bush et Obama, surveillent le monde et bénéficient de l’indulgence de leurs dirigeants ?

La comparaison avec Big Brother est sans cesse évoquée, mais dans le roman d’Orwell, le dictateur surveille les citoyens à travers un télécran et chacun sait que cet écran est à la fois le lieu d’apparition du chef qui ordonne et le moyen de s’assurer qu’il est obéi.
Le Panoptique de J. Bentham popularisé par Foucault est également souvent cité à propos du système de la NSA, mais là encore, l’image d’un observateur unique qui peut observer chaque sujet sans qu’il le voie (mais en le sachant parfaitement, ce qui l’incite à se contrôler en permanence). Si de telles métaphores sont littérairement ou moralement intéressantes, elles ne décrivent pas vraiment un système qui est sensé fonctionner à notre insu et qui sert moins à savoir pour mieux réprimer ce qu’on fait ou dit des « crimepenseurs » ou des délinquants, qu’à prédire et contrôler des comportements pour gérer des risques. Le système NSA ne sert pas à terrifier par un message unilatéral ni à obtenir l’obéissance de citoyens silencieux ou transformés en perroquets ; il fonctionne dans une société où des milliards d’individus sont connectés entre eux et ne cessent de s’exprimer. Et plus il y a de milliards de données qui circulent, plus la NSA est supposée s’approcher du paradis de la « total information awareness« , la connaissance totale de toutes les tendances et dangers. Ce qui est faux, bien entendu.

Car la plus grande inconnue du système NSA est son efficacité.
Officiellement, il s’agit de prévoir des actes terroristes. Si c’est le cas, le bilan (pour un budget annuel de dix milliards de dollars) représente le pire retour sur investissement de l’Histoire de l’économie. Même les plus ardents défenseurs de la NSA parlent de « quelques » attentats qui auraient ainsi été empêchés et ne peuvent pas prouver que ce soit grâce aux interceptions seules et sans intervention du facteur humain. Dans tous les cas, le bilan de treize ans de lutte anti-terroriste par interception et traitement des données n’est pas éblouissant.

Mais même les moins antiaméricains ont quand même un petit soupçon que tout ce bazar pourrait servir à autre chose. Et que, dans la continuité du système Echelon découvert dans les années 90, et qui convertissait des moyens d’interception initialement destinés à la lutte contre l’URSS en moyens d’espionnage économique, tout cela pourrait avoir un rapport avec ledit espionnage économique.
D’où l’intérêt de se pencher sur les rapports entre l’appareil d’espionnage d’État et les entreprises, en particulier celles dont l’activité détermine le fonctionnement du Net.

Les grandes entreprises du Net (les GAFA, Google, Apple, Facebook, Amazon et quelques autres) vendent des choses (appareils, terminaux), des algorithmes ou des codes pour les utiliser, et du contenu accessible grâce à ce dispositif. Surtout, elles nous vendent de l’accès : accès à des réserves où consommer du temps de spectacle ou de lecture, accès à des données et de la documentation, mais aussi accès aux espaces fréquentés par d’autres internautes avec qui partager des expériences.
Chacune de ces dimensions a de bonnes raisons d’intéresser un service de renseignement qui aimerait savoir ce que nous disons, montrons, cherchons, regardons, comme indices de ce que nous pensons (ou de ce que nous pourrions être amenés à savoir, croire ou penser). Mais ils ont aussi intérêt à savoir avec qui nous créons des liens indépendamment du contenu : qui est en contact avec qui, qui fait partie de quel réseau réuni par quelles affinités, qu’il s’agisse d’un réseau Facebook ou d’un réseau terroriste, le second pouvant du reste se manifester sur le premier.

Et comme par ailleurs, les mêmes entreprises ont aussi un intérêt commercial à en savoir le plus possible en ce domaine, ne serait-ce que pour revendre nos données ou notre temps de cerveau disponible…, il y a de bonnes raisons de consacrer budgets et énergie à la collecte et interprétation de toutes ces données.

Quant à nous, simples usagers, nous sommes tiraillés entre la peur pour notre intimité et nos petits secrets,
la séduction par la commodité de tous ces dispositifs (qui nous évitent, par exemple, de répéter les mêmes informations ou d’avoir à les stocker physiquement quelque part) et par une certain besoin de socialité, qui nous pousse à nous exhiber pour obtenir le suffrage de nos pairs, ceux qui nous suivront, nous « likeront », nous signaleront, etc. À la fois victimes et complices, indignés et consentants, schizophrènes, en somme.

La première configuration possible est celle où l’État demande aux entreprises un accès à des données et métadonnées qui transitent forcément par leurs ordinateurs. Un opérateur de téléphone a enregistré qui s’est connecté à qui, quand et d’où. Un fournisseur d’accès sait quels sites vous avez visités. Une plate-forme de réseaux sociaux peut retrouver qui a posté quoi, etc. Plus toutes les informations que nous avons données volontairement au-delà de celles qui sont strictement nécessaires pour nous connecter, informations qui permettent de mieux nous connaître, nous et nos intérêts.

Dans un pays autoritaire avoir laissé traîner de telles informations peut vous valoir une invitation à visiter le poste de police ou des sanctions pour avoir utilisé des termes interdits (en Chine, par exemple). Personne ne pense que Baidu équivalent local de Google ait beaucoup de secrets pour les autorités. Mais dans un pays démocratique ?
Par exemple aux États-Unis où le quatrième amendement est sensé protéger les citoyens contre les perquisitions et saisies sans contrôle d’un juge ?

Dans un article précédent, nous avons exposé comment la loi FISA (Federal Intelligence Security Act), même révisée après le onze septembre, est sensée limiter l’accès de la police ou des services de renseignements aux données et données de connexion des citoyens américains.

On peut discuter de la légalité de mandats plus ou moins secrets émanant de cours qui ne le sont pas moins et concernant des personnes qui pourraient avoir des rapports avec des gens qui pourraient avoir des rapports…, sur fond de présumée conspiration internationale. Ou de la manière dont le système discrimine entre d’une part des citoyens américains qui doivent bénéficier de protections légales (due warrant & co.) et étrangers à qui ne s’appliquent pas les mêmes restrictions. Ces règles régissent la façon dont les autorités peuvent consulter des informations que les usagers ont, après tout, confiées à des plates-formes Internet dans le cadre d’un contrat garantissant leur vie privée.

Un degré de plus est franchi lorsque nous apprenons par les fameuses diapositives publiées par le Guardian que la National Security Agency traite avec les grandes compagnies du Net pour avoir un accès direct aux données. La première partie de l’affaire Snowden, c’est cela, ce qu’il sera convenu d’appeler Prism et qui représente la partie émergée de l’iceberg, par ailleurs la première partie à avoir été mise en lumière (dès juin 2012).
En gros, des sociétés soumises à la législation américaine acceptent d’accorder des privilèges ou des outils techniques aux services de renseignement de leur pays, non pas au coup par coup et mandat par mandat, mais globalement, sans doute indistinctement et sans contrôle. C’est ce que l’on appelle des interceptions « upstream« , là où vont les données. La Nsa et son cousin britannique le GCHQ se serviraient donc à leur guise en transférant directement des données de AOL, Google, Apple, Facebook, Yahoo, You Tube, Skype, PalTalk et Microsoft (que ceux qui n’ont aucune donnée confidentielles chez aucune de ces sociétés lèvent le doigt). Sans oublier Verizon At & T et autres opérateurs téléphonique pour ceux qui ont un téléphone américain. Il suffit que la NSA ait des raisons, naturellement non communiquées, de penser que ces données pourraient avoir quelques chose à voir avec des sujets qui l’intéressent ou avec l’étranger, ce qui est, on en conviendra, un critère assez large. Même si les sociétés en question répondent qu’elles n’ont donné d’information que sur requête de la Federal Intelligence Security Commission.
Le fait serait confirmé par le fait que la NSA aurait remboursé des frais « techniques » aux neuf grandes compagnies, un budget publié par le Washington Post.
Mieux, Microsoft aurait fourni à l’agence les moyens de décrypter les messages envoyés par Hotmail et Outlook, ce qui concerne quand même quelques millions d’entre nous. Skype dont on vantait la clef de chiffrement hyper résistante aurait également, après son rachat par Microsoft, laissé à la NSA déchiffrer ses messages…
Enfin quitte à nous répéter, rappelons que ces accès qui semblent « tolérés » concernent aussi des métadonnées (qui s’est connecté à qui, à quel moment, etc.) et que ces informations en révèlent énormément : la somme, la nature et la densité de nos contacts sont d’excellents indicateurs de nos activités, mais si l’on additionne les données de plusieurs comptes, non seulement l’anonymat apparaît comme une illusion totale, mais le croisement de ces informations en apprend énormément sur nos orientations politiques ou sexuelles, nos transactions, …
Qu’il y ait une alliance objective entre les grandes compagnies (le « corporate partners« ) et l’administration d’Obama (ces sociétés ayant largement soutenu ses campagnes et relayé la politique du département d’État lors du printemps arabe, ce n’est une surprise pour personne. Que ces relations soient institutionnalisées au point de leur faire trahir leur contrat de confiance avec leurs usagers et courir un terrible risque de réputation, est déjà plus étonnant.
Mais le plus étrange, comme nous le verrons dans la suite, est que les services américains puissent traiter simultanément ces sociétés comme des alliées et comme des cibles pour des opérations d’espionnage qui relèveraient de la cybercriminalité si elles étaient pratiquées par des individus.

Non contente de bénéficier d’un droit d’accès aux données conservées par les grandes compagnies du Net, la NSA peut aussi les pirater. Comme avec les services des gouvernements amis, un coup on partage les données avec les alliés, un coup on les espionne. Ou quand l’État pratique la cyberdélinquance qu’il est sensé combattre…
Si les révélations de Snowden sur la collecte dans les ordinateurs des fournisseurs d’accès et autres grands du Net ont déclenché le scandale, elles n’étaient rien par rapport à celle qui portent sur le côté encore plus obscur de la force.

Outre l’intervention « upstream« , la NSA pratique, rappelons-le, le « downstream« , comprenez le prélèvement de données circulantes, en prenant « au filet » tout ce qui passe pour le classer et conserver ce qui présente de l’intérêt. Ceci se ferait sur les câbles sous-marins, qui constituent une bonne partie des « backbones« , les « tuyaux » par lesquels passe l’essentiel du trafic Internet. La tâche est sous-traitée au GHCQ, le service britannique, particulièrement bien placé, du fait que quelques uns (49 sur 265 exactement et ceux qui transportent une bonne partie du trafic intercontinental) des principaux câbles passent par les eaux du Royaume-Uni. C’est le fameux programme Tempora qui donnerait accès à près du quart du trafic mondial et qui fonctionne par partenariat forcé avec sept compagnies, British Telecom, Vodafone Cable, Verizon Business, Global Crossing, Level 3, Viatel et Interoute qui sont sensées laisser les autorités britanniques vérifier tout ce qui passe par là. Tempora est déjà un cas intermédiaire entre la coopération plus ou moins volontaire des grandes sociétés (Prism) et la piraterie pure. Mais du coup, d’autres grandes compagnies, comme Orange, ainsi piraté et décrédibilisé peuvent
Car si l’on en vient à ce chapitre et sans même parler du fameux ordinateur quantique capable de tout décrypter et qu’elle ferait construire, les panoplies employées par la NSA, ont de quoi faire rêver tous les hackers du monde.
Citons, dans le plus grand désordre :
– Le système CNE (Computer Network Exploitation) qui implante des logiciels malicieux sur des réseaux informatiques
– Gopherset et Monkeyclandar qui s’installent sur les cartes SIM de vos smartphones et exfiltrent des informations par SMS à votre insu
– Candyman, Cylcone Hx9 et quelques autres qui, eux, captent des ondes radios au passage
– Nightstand qui fait le même travail pour le Wifi
– Ragemaster qui s’installe sur vos câbles
– Des prises USB trafiquées
– Feedthrough qui sert à franchir certains pare-feux
– Deitybounce qui installe des logiciels sur des systèmes Dell
-Jetplow qui s’en prend aux pare-feux de Cisco
-Headwater qui place une « porte de derrière » sur des routeurs
-Picasso pour pirater les téléphones portables
– Candygram qui simule une tour de téléphonie pour tromper les appareils GSM
– Dropoutjeep pour installer des logiciels espions sur des Iphone et le système Ios d’Apple
– Des outils de géolocalisation qui permettraient de connaître la position de centaines de millions de portables…
– Muscular qui pirate les serveurs de Google et Yahoo sur le lien entre leurs propres ordinateurs de stockage (au cas très improbable où ce que donnent ces compagnies légalement ou dans le cadre de Prism ne suffirait pas).
– Quantum Insert qui permet d’intercepter des requêtes adressées à un site Web et de se faire passer pour lui
– des entrées dans les Blackberry et smartphones de nombreux dirigeants du monde
– et probablement des dizaines d’outils que nous avons négligés ou que nous ignorons et qui font partie des panoplies des hackers d’élite de l’unité TAO Tailored Access Operations.

Ce catalogue suggère au moins trois pistes :

– Même un enfant de huit ans ne pourrait croire que tout cela sert uniquement à chasser des jihadistes et que le piratage de l’Élysée, du portable de Merckel ou des adresses mail d’Alcatel aient eu pour but de débusquer des taupes islamistes au sommet des États européens. Il est évident qu’il s’agit d’espionnage économique.

– Les sociétés qui coopèrent avec la NSA ne sont pas mieux traitées que les autres, ni ne sont à l’abri de piraterie d’Etat. Elle exploite des failles de sécurité qui, révélées, pourraient coûter très cher auprès de leurs clients. Un des talons d’Achille du système pourrait être économique.

– Un des aspects les plus étonnants de la lutte sur Internet est que les forts peuvent aussi utiliser les armes du faible (qui demandent surtout des technologies et du jus de cerveau). C’est un cruel démenti à la vision du Net comme favorisant intrinsèquement les foules innovantes contre les hiérarchies.

Publicités

À propos de François-Bernard Huyghe

François-Bernard Huyghe est directeur de recherche à l’IRIS, spécialisé sur la communication et l’intelligence économique, responsable de l'Observatoire Géostratégique de l'Information Docteur en Sciences Politiques et habilité à diriger des recherches, il enseigne la stratégie de l’information et l'intelligence économique notamment à l’IRIS Sup, à Polytechnique, au Celsa. Il est membre scientifique du Conseil Supérieur de la Formation et de la Recherche Stratégiques et mène des recherches en médiologie parallèlement à une activité de consultant. C'est aussi un blogueur influent sur huyghe.fr Ses travaux sur les rapports entre information et conflit comportent la direction de numéros de revue (Panoramiques : "L’information c’est la guerre", Cahiers de médiologie "La scène terroriste", AGIR "Puissance et influence". Revue Internationale stratégique "Stratégies dans le cyberespace"..) et les livres : "L’ennemi à l’ère numérique" (P.U.F), le livre électronique "Ecran/ennemi", "Quatrième guerre Mondiale" (Rocher). "Comprendre le pouvoir stratégique des médias" (Eyrolles) et "Maîtres du faire croire. De la propagande à l'influence" (Vuibert). Également : "Terrorismes" (Gallimard 2011) Derniers livres : "Gagner les cyberconflits" (avec O. Kempf et N. Mazzucchi) Economica 2015 "Désinformation Les armes du faux" A. Colin 2016

Publié le 17 janvier 2014, dans Uncategorized. Bookmarquez ce permalien. Poster un commentaire.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :