Sécurité

Quand la surveillance légale ne suffit pas : la NSA a piraté les liaisons par fibre optique entre les centres de données Google et Yahoo – High-teK.ca

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

La couverture des fuites de Snowden est peut-être devenue un peu routinière depuis que les informations ont commencé à affluer aux yeux du public ce printemps, mais la dernière série de faits révélée par le Washington Post devrait inciter tout le monde à s’asseoir et à en prendre note. La NSA a physiquement compromis les câbles de données qui relient les différents centres de données d’entreprises comme Google et Yahoo dans le but d’accéder directement aux informations que les deux entreprises transmettent entre leurs propres serveurs. Selon le rapport, la connexion est fournie par DS-200B, un hub de télécommunications sans nom en dehors des États-Unis, où un accès secret aux câbles concernés a été obtenu.

Quant à savoir pourquoi la NSA le fait, la raison est parfaitement résumée ici :

Exploitation du cloud de Google

J’adore le smiley

Jusqu’à récemment, Google, Yahoo et d’autres grandes entreprises transmettaient des données d’un point à un autre sous forme de texte non crypté. La norme de cryptage, SSL, a été « ajoutée et supprimée » au moment où le public a accédé à l’information. En interne, les données n’étaient pas cryptées. Cela n’a pas été considéré comme une faille de sécurité, étant donné que les entreprises en question possédaient à la fois les centres de données et le câble utilisé pour les relier – les informations ne transitaient pas par l’Internet public, mais par les propres réseaux de l’entreprise. Musclé (c’est le nom de code de ce programme particulier de la NSA), est une opération conjointe avec le quartier général des communications du gouvernement britannique (GCHQ) qui a profité de l’écart, aspirant le contenu des liaisons par fibre optique et le renvoyant pour une analyse plus approfondie.

Quand la légalité ne suffit pas

La raison pour laquelle le programme Muscular est si effrayant, c’est parce que la NSA a déjà l’autorité légale dont elle a besoin pour exiger des grandes entreprises du Web qu’elles se conformer à toute demande cela donne des informations sur les cibles, à la fois étrangères et nationales. Jusqu’à l’été dernier, toutes les tentatives des entreprises pour contester ces exigences avaient échoué. Toutes les tentatives pour contester la nature des ordres de bâillon avaient échoué. Les principaux opérateurs de télécommunications ont accepté unilatéralement les exigences élargies ; des documents judiciaires dévoilés cet automne ont révélé qu’aucune compagnie de téléphone n’a jamais tenté de bloquer une ordonnance de surveillance rendue par le FISC (Foreign Intelligence Surveillance Court), bien qu’elle ait le droit légal de le faire. En fait, selon le gouvernement, les compagnies de téléphone sont les seules entités ayant le droit légal de contester une telle surveillance. Et ils ne l’ont pas fait.

Psssssst :  Exploits Android avec NFC implantés : et après ? - ExtrêmeTech

Il n’est donc pas exagéré de dire qu’avant Snowden, la NSA avait effectivement gagné. Il avait un accès approfondi aux archives Internet internationales grâce à l’accord dit « Five Eyes » entre l’Australie, le Canada, la Nouvelle-Zélande, le Royaume-Uni et les États-Unis. Il disposait d’un système judiciaire non contradictoire conçu pour approuver les demandes, et il avait vaincu toutes les tentatives des entreprises de bloquer l’accès auxdites données. Le seul effet durable des écoutes téléphoniques sans mandat a été l’adoption par le Congrès d’une loi accordant une immunité rétroactive aux entreprises concernées.

Emplacements des centres de données publics de Google

Emplacements des centres de données publics de Google

Et pourtant, même après toutes ces victoires, la NSA n’était pas satisfaite. Le prisme ne suffisait pas. Informateur illimité et XKeyscore n’étaient pas assez. Distribuer délibérément normes de cryptage brisées n’était pas assez. Et donc la NSA a exploité directement les lignes de communication – non pas pour cibler des individus ou des groupes spécifiques connus pour être des risques terroristes potentiels, mais pour siphonner l’océan dans l’espoir d’attraper des vairons.

Page suivante: Ce n’est pas de la surveillance jusqu’à ce que nous l’analysions…

Bouton retour en haut de la page