analyse

Quand la NSA surveille les piliers d'internet

©BELGAIMAGE

L’étendue des programmes de surveillance opérés par l’agence de renseignement américaine NSA est encore loin d’être intégralement révélée. En témoigne ce nouveau ce pan d’opérations dont L’Echo a pu prendre connaissance, toujours grâce à des documents fournis par l’ancien consultant de l’agence Edward Snowden, par l’entremise de la plateforme Associated Whistleblower Press.

Qu’apprend-on à la lecture de ces documents ? L’existence d’un programme nommé MoreCowBell qui surveille en continu l’activité des serveurs DNS, soit l’un des protocoles fondamentaux d’Internet, qui organise le système des adresses web et permet de ne pas avoir à renseigner une liste de chiffres (les adresses IP) pour accéder à un site. La NSA monitore donc en continu les activités des serveurs DNS avec, comme presque à chaque fois, une volonté d’obtenir des métadonnées : le but n’est pas de sonder les sites, mais de suivre leur fréquentation, les modifications qui y sont apportées, leur accessibilité.

Fait surprenant, ces données sont en fait, dans leur grande majorité, accessibles au public. Ce qui n’empêche pas la NSA, toujours selon les documents consultés par L’Echo, de masquer cette opération de surveillance en l’organisant à partir de centres de données loués sous couverture en Malaisie, mais aussi en Allemagne et au Danemark, et dans une dizaine d'autres pays.

Le système DNS (Domaine Name System), consiste en une gigantesque base de données de noms de domaines, les adresses web, qui respectent une structure spécifique. Les noms de domaine correspondent systématiquement à des adresses  IP  (une série de chiffres), qui sont uniques pour chaque machine connectée à Internet.

Lorsque vous introduisez une adresse internet dans votre navigateur, votre fournisseur d'accès va rechercher l'adresse IP correspondante. Un processus réalisé via l'envoi d'une série de requêtes vers les différents serveurs DNS qui pourraient potentiellement établir la correspondance, ou renvoyer vers le serveur DNS concerné. Dans le cas d'une adresse en .be, par exemple, le navigateur se dirigera prioritairement vers DNS.be, l'organisation qui gère l'extension de domaine .be. 

L'ensemble de la procédure de recherche ne prend généralement qu'une poignée de secondes. Surtout, pour les sites les plus fréquentés, la correspondance est souvent stockée localement, soit au niveau du navigateur, soit par le fournisseur d'accès Internet.

 

Des structures que l’agence nomme en interne les " bots ", soit le nom que l’on donne généralement aux ordinateurs-zombies, infectés par des malwares.

L’agence de renseignement américaine ne souhaite donc pas que soient identifiables ces milliards de requêtes d’informations, qui lui permettent d’avoir de l'information presque en temps réels sur ses cibles. Le programme MoreCowBell dispose en outre d’un outil logiciel qui permet de lancer des requêtes DNS en imitant les traces que laisserait un utilisateur lambda.

Le programme envoie donc des requêtes avec des adresses fictives mais rendues plausibles par l'utilisation de mots-clés fréquemment utilisés et, en multipliant les tentatives, parvient à constituer un annuaire des adresses web, mais aussi mail de ses cibles.

La NSA travaillait également au développement d'outils complémentaires, lui permettant de détecter en temps réel les modifications apportées au contenus des sites internet, et les attaques informatiques dont ils feraient l'objet. 

Il y est également question de parvenir à dérouter le parcours des requêtes DNS et ou HTTP des utilisateurs : concrètement, cela leur permettrait de se faire passer pour des sites authentiques et d'ainsi récupérer des tonnes d'informations plus sensibles.

 

©Mediafin



Vérifier l'impact des attaques, informatiques ou physiques

Autre utilisation évoquée dans les documents, le " Battle Damage Indicator " soit l’utilisation des données des serveurs DNS pour mesurer l’impact qu’ont pu avoir des attaques informatiques ciblées. Avec, en filigrane, la possibilité d’observer ce que la cible tente de faire pour rétablir des services ou des infrastructures.

Cette dimension offensive tient d’ailleurs à la genèse du programme, lié à la JFCC, une unité de cyberdéfense dédiée à la protection des infrastructures américaines mais également à l’attaque de certaines ciblées. Liée à l’armée américaine jusqu’en 2010, elle a depuis été intégrée au sein de la NSA.
Et pour cause, la surveillance des serveurs DNS permet notamment d’identifier les serveurs les éléments les plus vulnérables dans l’architecture d’un service web, potentiellement en prévision d’une attaque de grande ampleur, à l’image des récents piratages de grande ampleur d’enseignes majeures comme Sony ou Target qui, chaque fois, ont été infiltrées via les plateformes de fournisseurs ou de partenaires commerciaux.

 

Le programme MoreCowBell permet aussi à la NSA de repérer les grands réseaux de botnets (ordinateurs infectés et contrôlables à distance par des pirates), pour prendre le contrôle des machines les administrant afin de lancer des attaques déni de service de très grande ampleur.

Quant aux types de sites qui sont ainsi surveillés, ils sont clairement mentionnés, avec, dans l’ordre :

  • les sites de gouvernements étrangers,
  •  les forums internet liés à l’extrémisme et au terrorisme,
  •  les sites contenant des malwares et…
  •  les sites officiels de l’administration américaine, histoire de faciliter la maintenance.
©doc



La publication des documents est accompagnée d’un long article de Christian Grothoff, Matthias Wachs, Monika Ermer et le célèbre Jacob Appelbaum, comparse de Snowden, qui détaille les modifications qui devraient être apportées au système actuel des DNS pour renforcer la protection des internautes. Et de citer une série d’outils déjà existants tels que DNSCurve, ou des projets jusque maintenant balayés d’appliquer une couche de sécurité logicielle sur l’ensemble du protocole DNS.

Plus largement, ils appellent à une réforme profonde du fonctionnement des infrastructures de base du web, en allégeant notamment le poids des États-Unis dans les organes de gestion de ces infrastructures. Comprenez : l’Icann, ancienne dépendance du Department of Commerce américain, et qui se charge de la création et de l’attribution des noms de domaines. Une institution dont les liens avec le gouvernement US ont déjà été largement critiqués, tandis qu'une initiative qui vise à réattribuer ses compétences aux Nations Unies est également controversée auprès des défenseurs d'un web libre. 

©doc



Un nom tiré d'un... sketch

Fait amusant, le nom du programme "MoreCowBell" semble faire référence à une expression rentrée dans le vocabulaire américain après la diffusion d'un sketch dans le Saturday Night Live. Une séquence à laquelle ont participé l'animateur Jimmy Fallon, l'humoriste Will Ferrel (particulièrement élégant) et le célèbre acteur Christopher Walken. Reste à comprendre d'où viendrait le lien, même si la NSA cultive un goût certains pour les noms clinquants (QuantumTheory, TreasureMap, PackagedGoods,...). Peut-être faut-il y voir une correspondance entre l'envie insatiable de Christopher Walken d'entendre le son de la "Cow Bell" et l'appétit indiscutable de la NSA pour les métadonnées.

 

 

 

Lire également

Publicité
Publicité
Publicité

Messages sponsorisés

Messages sponsorisés