Sécurité

Ce que vous pouvez apprendre du guide déclassifié de la NSA sur l’espionnage en ligne – High-teK.ca

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

L’Agence de sécurité nationale vient de déclassifier un document rédigé de manière désarmante intitulé « Untangling the Web: A Guide to Internet Research », composé de plus de 600 pages de conseils de bon sens sur le détective sur Internet. Le guide a été mis à jour pour la dernière fois en 2007, et c’est à la fois un regard sur les communications internes de la NSA et un rappel de la rapidité avec laquelle Internet change ; cela n’a que six ans et certaines parties se lisent déjà comme « Duke Nukem Does The Internet ». Pourtant, il y a des informations utiles ici, et des aperçus vraiment fascinants sur la façon dont le vrai personnel de la sécurité nationale mène des recherches en ligne.

Bien que je sache mieux, il y a toujours eu une croyance légèrement superstitieuse selon laquelle les experts gouvernementaux – en particulier ceux de l’industrie de la sécurité – avaient accès à une base de données cryptée pleine d’informations utiles, probablement avec une interface Unix incroyablement spartiate contrôlée par des claviers mécaniques bruyants. Bien sûr, la vérité s’avère bien plus banale que cela, et les trois meilleurs outils à utiliser par les agents de la NSA pour rechercher des informations critiques pour la sécurité ? Google, Yahoo et Live Search (maintenant Bing).

Certains ont ricané à quel point tout cela semble banal (c’était autrefois Dossier d’information Top Secret NSA commence par une explication du terme « World Wide Web »), mais le rythme s’accélère assez rapidement. Après un petit intermède humoristique sur l’inévitabilité de la domination continue d’Internet Explorer sur le marché des navigateurs, les nouvelles recrues repoussent les informations d’introduction et de fond pour arriver au manuel de recherche en ligne du gouvernement américain.

Psssssst :  Google jette près d'un milliard d'utilisateurs d'Android sous le bus et refuse de corriger la vulnérabilité du système d'exploitation - High-teK.ca

L’un de ces jeux qui a soulevé quelques sourcils est le « piratage de Google », un processus assez simple consistant à utiliser Google pour trouver « des informations accessibles au public qui n’étaient presque certainement pas destinées à une diffusion publique ». Un conseil majeur est l’utilisation de modificateurs de type de fichier sur les termes de recherche, en particulier les fichiers Excel (.xls) et d’autres types de fichiers souvent utilisés pour les documents internes. Il encourage les chercheurs à inclure des termes tels que « interne », « budget » et « non destiné à la distribution ».

Compte tenu de la préoccupation de la NSA concernant la communication étrangère, il n’est pas surprenant de voir une section sur la façon d’utiliser le support de Google pour des langues comme l’arabe. Il présente même des modèles de chaînes de recherche afin que les agents puissent rechercher plus facilement des bases de données non protégées et des feuilles de calcul remplies d’informations sur l’utilisateur/le mot de passe.

Siège social de la NSA à Fort Meade, où la sécurité apprend professionnellement les termes de recherche Yahoo

Siège de la NSA à Fort Meade

Le guide prend soin de qualifier ce procédé de « intelligent » plutôt qu’illégal. Le guide explique que la protection des bases de données est une tâche difficile, en particulier pour les infrastructures obsolètes, et établit une distinction plutôt frénétique entre le piratage et le cracking ; l’auteur est très préoccupé par l’idée que les agents n’utilisent son guide que pour trouver d’énormes listes de mots de passe, alors qu’en réalité utilisant ces informations pour accéder illégalement à une base de données protégée serait tout simplement impensable. D’une certaine manière, il est presque agréable de constater que le double langage insultant et transparent de l’industrie de la sécurité ne se limite pas aux communiqués de presse. L’auteur de Wired Kim Zetter souligne que le hacker « weev » a récemment été donné plusieurs années de prison pour des activités très semblables à ce qui est préconisé dans ce guide.

L’autre grande section qui intéresse les connaisseurs amateurs de l’Internet est le chapitre sur le soi-disant « Web invisible ». Aussi appelé Deep Web, il s’agit d’un ensemble de sites Web hors de portée des moteurs de recherche conventionnels, soit parce qu’ils ont été intentionnellement bouclés, soit parce qu’ils utilisent un protocole organisationnel obscur. Le Deep Web, avec ses nombreux petits moteurs de recherche ciblés, peut être incroyablement puissant entre de bonnes mains, donnant accès à tout, de la Bibliothèque du Congrès aux réseaux commerciaux privés dont même les entreprises elles-mêmes ne savent pas qu’elles sont disponibles.

Psssssst :  Le fabricant de caméras de sécurité Wyze admet une violation de données de 23 jours - High-teK.ca

Untangling the Web a été publié grâce aux efforts des guerriers du premier amendement de MuckRock, un groupe qui gère les demandes d’accès à l’information pour les organisations caritatives, les journalistes et toute autre personne qui pourrait avoir besoin d’une telle aide. C’est une pièce longue et compliquée, et a vu remarquablement peu d’informations expurgées dans le processus de déclassification; comme le souligne l’auteur lui-même, la plupart de ces informations sont facilement disponibles ailleurs. Ceci est un résumé très efficace, cependant, et il y a quelque chose d’intrinsèquement cool à lire un guide destiné aux employés de la NSA.

Ce guide ne fera pas de vous un espion, ni un hacker, mais il pourrait vous donner un aperçu de ce qui se passe réellement dans les zones de cabines top secrètes de la NSA : à peu près ce qui se passe dans les vôtres.

Maintenant lis: Unité de piratage chinoise unique responsable du vol de téraoctets de données à des centaines d’organisations

Bouton retour en haut de la page