16 janvier 2014 | Par JeromeHourdeaux – Mediapart.fr
Derrière l’attaque contre un important câble sous-marin, le SEA-ME-WE 4, se trouve le programme sans doute le plus inquiétant de tous ceux révélés par Edward Snowden. Son nom : QUANTUMINSERT. Il permet à la NSA d’installer, à des points névralgiques, un réseau de l’ombre quasiment invisible et indétectable. En France, Orange a décidé de porter plainte contre X.
En révélant, fin décembre, une attaque de la NSA contre le réseau informatique gérant le câble sous-marin SEA-ME-WE 4, le Spiegel a sans doute mis le doigt sur le programme de l’agence américaine le plus inquiétant parmi ceux révélés par Edward Snowden, et celui qui pourrait avoir le plus de conséquences politiques. Selon les différents documents transmis par Edward Snowden, l’agence américaine aurait réussi à pirater et à infiltrer des points centraux du réseau internet afin de s’assurer à la fois un contrôle total des communications et une capacité d’intervention sans précédent.
De plus, la NSA a également réussi à mettre en place son propre réseau parallèle, capable de piéger ses victimes et reposant sur une série de dispositifs quasiment indétectables insérés au cœur de l’architecture du Net.
Le 29 décembre dernier, au détour d’un article sur une unité spéciale de la NSA baptisée « Office of Tailored Access Operations » (bureau des opérations d’accès adaptées), ou TAO, l’hebdomadaire allemand rapportait que celle-ci avait réussi à pirater « les informations de gestion des systèmes du câble sous-marin SEA-ME-WE 4 ». Mediapart a eu accès à des sources qui confirment ces informations (notre article ici).
Géré par un consortium de seize sociétés, dont l’opérateur français Orange, le SEA-ME-WE 4 est l’un des principaux câbles sous-marins qui constituent le véritable « squelette » de l’Internet mondial. Il est notamment la grande voie d’acheminement du trafic internet et téléphonique entre l’Ouest et l’Est, en partant de Marseille pour desservir la Tunisie, l’Algérie, l’Égypte, l’Arabie saoudite, les Émirats arabes unis, puis le Pakistan, l’Inde, le Bangladesh, la Thaïlande, la Malaisie et Singapour.
Peu après cette révélation, Orange avait fait part de son intention de se constituer partie civile. Contacté par Mediapart, l’opérateur précise aujourd’hui qu’une « plainte contre X… sera déposée dans les jours qui viennent auprès du procureur de la République près le tribunal de grande instance de Paris ». Celle-ci vise des faits « d’accès et maintien frauduleux dans un système de traitement automatisé de données » ainsi qu’à « couvrir les risques non détectés à ce stade : accès à des données personnelles (collecte frauduleuse et atteinte au secret des correspondances) ». Orange, qui précise être « usager et non gestionnaire » du câble, a également demandé au consortium« de réaliser un audit du site internet en question afin de déterminer précisément ce qui s’est passé et au besoin renforcer les mesures de sécurité ».
Le consortium et les différents opérateurs nationaux qui le composent risquent également de devoir réviser une bonne partie de leurs réseaux. Car l’attaque dévoilée par Edward Snowden n’était que la partie émergée de l’iceberg. Le plus inquiétant dans cette affaire réside en fait dans la méthode utilisée par la NSA, tirée d’un programme baptisé QUANTUM aux implications géopolitiques particulièrement lourdes.
Le TAO, à l’origine de cette attaque, est tout d’abord une unité bien particulière, composée de véritables hackers recrutés par la NSA pour exécuter son sale boulot numérique. Dans les documents que le Spiegel a pu consulter, il est expliqué que son activité, la « Computer Network Exploitation » (« exploitation du réseau informatique »), vise à « subvertir des équipements terminaux (d’arrivée) ». En clair, tout simplement à les pirater. Il y est également fait mention des équipements faisant partie des cibles potentielles du TAO : « serveurs, postes de travail, firewalls, routeurs, combinés, boîtiers téléphoniques, systèmes SCADA (ndlr – systèmes de gestion informatique utilisés dans l’industrie), etc. ».
Bénéficiant de son propre département de développement, le TAO a mis au point une boîte à outils qui lui permet de mener une grande variété d’attaques informatiques, et qui a été baptisée QUANTUMTHEORY. Celle-ci est par ailleurs également mise à la disposition de l’agence de renseignement britannique, le GCHQ. Selon l’un des documents internes, cette boîte à outils est particulièrement efficace. Ainsi, « certaines missions QUANTUM ont un taux de succès atteignant les 80 %, alors que le spam est à moins de 1 % ». Un autre document interne, intitulé « QUANTUMCAPABILITIES » liste, parmi les cibles du programme, les principaux géants du Web : Facebook, Yahoo, YouTube, Google ou encore Twitter.
Mais « l’outil » le plus redoutable du TAO semble être justement celui utilisé contre le consortium gérant le câble SEA-ME-WE 4 : le QUANTUMINSERT. Il se trouve que cette attaque a déjà été évoquée ces derniers mois dans des documents diffusés par Edward Snowden. Comme l’a révélé le Spiegel au mois de novembre dernier, elle a notamment été utilisée contre l’opérateur téléphonique belge Belgacom. Et au mois d’octobre dernier, elle avait fait l’objet d’une étude détaillée dans les pages du quotidien britannique The Guardian par l’expert en sécurité informatique américain Bruce Schneier.
« Un réseau de l’ombre quasiment invisible et indétectable »
Le QUANTUMINSERT débute par une véritable enquête en ligne destinée à sélectionner un certain nombre de cibles qui serviront de portes d’entrée. Dans le cas de l’attaque contre Belgacom, menée par le GCHQ, les hackers ont isolé un groupe d’employés de la maintenance et de la sécurité informatique utilisant le réseau social professionnel LinkedIn. Ils ont ensuite mis en place une copie conforme du site, hébergée sur l’un de leurs serveurs, et se sont ensuite arrangés pour que leurs victimes s’y connectent. Lorsqu’elles tentent d’accéder à leur profil, celles-ci sont immédiatement repérées et leur connexion est redirigée vers un réseau parallèle, contrôlé par la NSA, et où est stocké le « faux » site. En croyant se connecter à leur profil, les employés ouvraient en fait les portes de leur ordinateur au GCHQ qui n’avait plus qu’à injecter un programme lui permettant d’infiltrer par la suite l’ensemble du réseau.
Le TAO a également mis en place une autre technique d’infiltration utilisant les messages d’erreur qui s’affichent lorsqu’un PC rencontre un problème technique avec le système d’exploitation Windows de Microsoft. Lorsque la NSA se donne une cible, elle commence par identifier son ordinateur grâce à un « identifiant unique », le plus souvent son adresse IP. Son puissant logiciel de surveillance de masse « XKeyscore » lui permet ensuite d’être alertée lorsque la machine visée est victime d’un« plantage » et d’intercepter le message d’erreur. Si celui-ci ne comporte pas d’information personnelle à proprement parler, il fournit cependant de précieuses informations sur les failles de sécurité de la cible qui seront exploitées dans une future attaque.
Dans sa conception, cette technique n’est rien d’autre qu’un grand classique, une attaque dite « man-in-the-middle » (« l’homme-du-milieu ») consistant à s’interposer entre les deux extrémités d’une communication. Mais les moyens utilisés sont, eux, beaucoup moins conventionnels. Pour réussir à détourner les connexions de leurs cibles, la NSA a installé, à des points centraux du réseau, des serveurs baptisés QUANTUMSERVERS capables de battre de vitesse, et donc de supplanter, le serveur initialement visé.
Concrètement, lorsqu’une cible tente de se connecter à son site, le programme est immédiatement alerté. L’un de ces serveurs intercepte alors la communication et injecte dans l’ordinateur un petit programme redirigeant la connexion vers un réseau parallèle baptisé « FoxAcid ».
Le TAO a en effet mis en place ce que le Spiegel qualifie de véritable « réseau de l’ombre », composé « d’implants », de serveurs, de routeurs piratés ou installés à des points névralgiques du réseau. Utilisé dans nombre d’attaques menées par le TAO, « FoxAcid » est ainsi qualifié, dans les documents fournis par Edward Snowden,« d’orchestrateur d’exploits ». En résumé, la NSA aurait mis en place l’arme ultime en prenant le contrôle de points centraux du réseau lui offrant accès à la source même du trafic d’une manière quasi indétectable. Notamment parce que les nœuds stratégiques du réseau, les « Internet Exchange Points », répartis à travers le monde, se trouvent souvent situés dans des endroits difficilement contrôlables.
Un technicien raconte ainsi à Mediapart une étrange découverte, faite en 2011 sur le point d’échange des Émirats arabes unis, géré par la société britannique Epsilon Telecom et hébergé dans un data center situé à Fujairah City. Gérant une bonne partie du trafic du câble SEA-ME-WE 4, ce point est particulièrement sensible en raison de la proximité des forces américaines basées à Bahreïn et très présentes dans la ville. Or, en inspectant la table de routage, permettant de vérifier l’activité d’un routeur, le technicien a découvert une série d’adresses étranges vers lesquelles une partie du trafic était redirigée.
« Nous avons cherché à savoir jusqu’à quand ça remontait », raconte-t-il à Mediapart. « Mais lorsque nous nous sommes rendu compte que cela remontait à plus de six mois, le responsable, un Britannique, nous a dit de ne pas chercher plus loin et de ne prévenir personne. » Poursuivant tout de même ses recherches, il a alors découvert sur le câble SEA-ME-WE 4 un « switcher optique », un dispositif permettant de détourner le trafic. « Aujourd’hui, j’ai de plus en plus l’impression qu’il s’agissait d’un insert quantum », estime-t-il.
Cette hypothèse d’un piratage des routeurs dits « cœur de réseau » n’est pas nouvelle. Elle avait notamment été évoquée dans un rapport remis à l’été 2012 par le sénateur UDI Jean-Marie Bockel sur la « cyberdéfense : un enjeu mondial, une priorité nationale ». « Les “routeurs de réseaux” sont des équipements hautement sensibles du point de vue de la sécurité des systèmes d’information », affirmait le sénateur. « Rien n’empêcherait, en effet, un pays producteur de ce type d’équipements d’y placer un dispositif de surveillance, d’interception, voire un système permettant d’interrompre à tout moment l’ensemble des flux de communication. Le fait de placer un tel dispositif de surveillance directement au cœur du “routeur de réseaux” rendrait ce dispositif presque totalement “invisible” et indétectable. »
De son côté, « FoxAcid était déjà connu, au moins sur le principe, via les conférences de cybersécurité, explique Stéphane Bortzmeyer, ingénieur spécialiste des réseaux.Ce qui est une réelle surprise, c’est l’ampleur et la systématisation qui ont demandé pas mal de moyens. » « Ce réseau parallèle existe depuis Echelon », confirme un autre spécialiste de réseau, Kave Salamatian, professeur à l’université de Savoie, en référence au programme d’espionnage de la NSA dévoilé à la fin des années 1990. « À l’époque, il était utilisé pour rediriger les communications interceptées. Mais nous n’avons pas réagi depuis Echelon et ce réseau semble avoir été adapté et perfectionné. »
« La première sécurité, c’est de ne pas se sentir en sécurité »
Concernant le câble SEA-ME-WE 4, l’enquête devra encore déterminer l’étendue de l’infiltration. On sait d’ores et déjà que cette infiltration n’était que la première étape d’une opération de bien plus grande envergure. Dans le cas de l’attaque menée contre Belgacom, le GCHQ avait réussi à pénétrer « profondément au sein du réseau » et jusqu’à « la périphérie du réseau » de l’opérateur belge. Une fois installée au cœur du dispositif informatique, l’agence avait pu déployer un autre programme, baptisé « Operation Socialist II », visant à déchiffrer les connexions chiffrées.
Grâce aux documents d’Edward Snowden, on sait que l’attaque initiale contre le consortium gérant le SEA-ME-WE 4, menée le 13 février 2013, a permis à la NSA de« collecter les informations de gestion des systèmes du câble sous-marin SEA-ME-WE 4 ». L’agence se vante d’avoir « eu accès au site de gestion du consortium et d’avoir collecté les informations du réseau de niveau 2 qui montre la cartographie d’une partie significative du réseau ». Et elle précise que « d’autres opérations sont prévues pour le futur afin de collecter plus d’informations sur celui-ci et sur d’autres systèmes de câble ».
« Je ne connais pas l’architecture de leur réseau, mais il est prudent de dire qu’il n’y a plus grand-chose qui leur échappe, estime Stéphane Bortzmeyer. Ils peuvent faire tout ce qui est théoriquement possible de faire. » « Vous avez la main sur la totalité du réseau et la capacité de faire quasiment tout ce que vous voulez, poursuit Kave Salamatian. Vous pouvez par exemple faire des attaques “man-in-the-middle” au sein même du réseau pour obtenir des logins. » De plus, même lorsque l’attaque sera repérée et le réseau interne nettoyé, resteront toujours les différents « implants », serveurs et routeurs placés ou piratés par la NSA. « Il faudrait faire un audit complet du câble SEA-ME-WE 4, explique Kave Salamatian. Mais pour ça, il faut une pression des clients. Or, certains États refuseront toujours. »
Dans son rapport qui avait suscité de nombreux débats, Jean-Marie Bockel n’envisageait qu’un seul cas : l’installation de portes dérobées par les Chinois dans leurs produits dont il demandait tout simplement l’interdiction en France. « Aujourd’hui, vu l’ampleur des révélations d’Edward Snowden, j’ai un peu changé de doctrine, reconnaît-il. À l’époque, j’avais ciblé les routeurs chinois car il y avait une actualité. Mais l’affaire Snowden a désormais pris une dimension sociétale. Ce n’est plus seulement une affaire de technique. » « Dans un premier temps, poursuit le sénateur, j’avoue que j’ai pu traiter ces révélations avec un peu de légèreté. Mais aujourd’hui, nous avons dépassé les limites de l’acceptable. Il faut remettre les règles du jeu sur la table. »
Cependant, il n’est désormais plus question de boycott, comme si l’espionnage américain avait rendu le crime moins grave. « Je pourrais dire “oui” au boycott, explique Jean-Marie Bockel. Cela ferait plaisir à beaucoup de gens. Mais la réalité est bien plus complexe. Nous sommes dans une situation de rapport de force avec une double spécificité. Les États-Unis sont nos alliés et nos amis. Il faut également savoir qu’il existe des échanges d’informations. » L’élu estime cependant que « cela ne doit pas nous empêcher de montrer les dents ». Il appelle à « unir les fleurons industriels français et européens » du secteur afin de constituer « une industrie qui fasse suffisamment le poids » pour « être acceptée à la table des négociations ».
Enfin, il propose de « travailler à une convention internationale de type onusien qui fixerait une règle de conduite en matière de protection de données ». « Certes, il y a des chances pour que cette convention ne soit pas respectée, mais Edward Snowden nous montre que ça se saura. »
Moins optimiste, Kave Salamatian estime, lui, que « cette affaire démontre qu’il y a un gros problème. Aujourd’hui, nous sommes sans filet. On ne s’en sortira pas si l’on n’en parle pas. Et pour cela, il faut commencer par remettre à plat une série d’a priori ». Il faut tout d’abord prendre conscience que « n’importe quel système informatique est piratable. Aujourd’hui, on ne peut plus faire confiance à aucun de ces outils. Il y a donc également un travail d’éducation des masses à faire, poursuit-il. La première sécurité, c’est de ne pas se sentir en sécurité ».
« Quand l’attaquant est vraiment déterminé, il peut toujours casser un système », confirme Stéphane Bortzmeyer. « Il y a toujours des trous à exploiter. Ce n’est qu’une question de temps. Or, avec les moyens dont dispose la NSA… » Cela dit, « voilà déjà longtemps que les modèles de sécurité raisonnent en partant du principe qu’on est sûr des points de départ et d’arrivée, mais pas de ce qu’il y a entre les deux. Il faut toujours penser comme s’il y avait un “homme du milieu” ».
Mais avec son programme QUANTUMINSERT, la NSA pourrait bien avoir franchi une limite. « Il y a deux types d’attaque, explique Stéphane Bortzmeyer. Les attaques passives, qui consistent à écouter une communication et qui passent généralement inaperçues. Et les attaques actives dont le but est de modifier les données de la cible. QUANTUMINSERT se situe entre les deux car il consiste en une attaque active, puis en une attaque passive. Au point de vue juridique, cela peut avoir des conséquences car, là, nous sommes dans le piratage pur et simple. »
L’enquête devra maintenant déterminer, si elle le peut, quelles informations la NSA a réussi à pirater et quelle proportion du réseau a été corrompue. Contactée par Mediapart, l’Agence nationale de la sécurité des systèmes d’information (Anssi), chargée d’assurer la sécurité du réseau français, a refusé de s’exprimer sur cette affaire.