~bohwaz/blog/

Avec de vrais morceaux de 2.0 !

Espionnage généralisé de la NSA (et des autres) — et quelques idées contre

Cela fait six mois maintenant que les documents d'Edward Snowden inondent la presse de révélations sur l'étendue d'un espionnage global et généralisé à l'ensemble de la population mondiale effectué par les services de renseignements mondiaux, et plus particulièrement la NSA américaine.

Alors je ne vais pas non plus reprendre l'intégralité des révélations faites, parce qu'il y en a des tas, et qu'en plus elles continuent à débouler régulièrement. Si vous avez vécu sur la lune ces six derniers mois Wikipédia est très complet sur le sujet (en anglais) : Global surveillance disclosure (et en français : révélations d'Edward Snowden). Mais bon je vais quand même faire un résumer plus bas.

En réalité le fait de révéler les documents au goutte à goutte pourrait se révéler être une stratégie afin de diluer l'intérêt de tous ces documents, qui seraient potentiellement plusieurs centaines de milliers ou plusieurs millions. Seulement quelques centaines ont été révélés. Ça transformerait le tout en opération de comm' pour la NSA et les USA qui indiqueraient par là au monde entier leur puissance et leur domination dans le domaine.

Pour expliquer un peu : la seule personne en possession des documents semble être le journaliste Glenn Greenwald, qui a récemment quitté son poste pour rejoindre une société créée avec Pierre Omidyar, le fondateur d'eBay. Il semble donc que Greenwald compte exploiter ces documents à son profit personnel, et on peut se poser des questions sur l'intérêt du fondateur d'eBay, qui pourrait avoir des liens avec la NSA... C'est une théorie exposée dans cet article par exemple. Alors oui on se dit que ça ressemble à une théorie de conspirateurs paranos… mais rappelez-vous il y a quelques mois on pensait que mettre un bout de scotch opaque sur sa webcam était aussi être parano, de même que chiffrer les communications, ou déconnecter la batterie de son téléphone. Aujourd'hui ce sont simplement des faits qui exposent que nous n'étions pas suffisamment paranos !

Je referme la parenthèse sur les problèmes générés par la mainmise de Greenwald sur les documents pour revenir au sujet principal. Pour donner l'étendue des problèmes je vais prendre quelques exemples de techniques et autres attaques que vous pouvez subir, d'après ce qu'on sait des révélations. C'est un peu un gros mix des révélations et techniques récentes. On sait que ces techniques ont été appliquées à des opposants politiques, des journalistes, des informaticiens, des artistes, des commerciaux, des élus, etc. que ce soit par des sociétés privées, des outils vendus par ces sociétés à des états, ou directement par des services d'espionnage comme la NSA. Donc tout le monde est concerné, pas seulement certaines personnes.

  • Votre ordinateur peut recevoir un espion logiciel qui enregistre ce que vous tapez au clavier et ce que vous voyez à l'écran, mais aussi un espion matériel : fausse clé USB, fausse prise USB, ou encore un espion matériel directement installé dans le clavier. Pire, on sait maintenant que lorsque vous commandez un ordinateur il peut être détourné lors de la livraison pour installer des espions matériels ou logiciels, sans que vous le sachiez évidemment.
  • Votre ordinateur peut être retenu à la douane à l'entrée du pays et à cette occasion son disque dur recopié, même s'il est chiffré il sera possible de retrouver votre mot de passe simplement en utilisant une caméra de surveillance dans un lieu public pour voir ce que vous tapez, ou alors en installant un programme espion sur votre ordinateur ou smartphone, ou tout simplement en vous retenant jusqu'à ce vous le donniez (en France par exemple vous encourrez une peine de trois ans de prison si vous ne donnez pas votre mot de passe ou clé de déchiffrement).
  • Des espions logiciels sont installables dans le BIOS des ordinateurs, ou dans le firmware des disques durs ou même de cartes SD. Donc même si vous reformatez, changez de disque, l'espion restera.
  • Votre webcam peut être activée à distance sans que vous le sachiez (le voyant ne s'allume pas) et les images peuvent être transmises à votre insu. Idem pour le microphone.
  • L'intégralité (ou presque) des données transitant dans les tuyaux d'Internet par les câbles sous-marins est transmise et recopiée sur les serveurs des services de renseignement et stockée pour une durée de 15 ans au moins.
  • Si le contenu est chiffré il est ainsi possible d'attendre d'avoir le mot de passe ou la clé de déchiffrement par des moyens simples (espionnage, transmission en clair de la clé) ou quand une faille sur cette méthode de chiffrement est découverte ou simplement par bruteforce quand le matériel devient assez puissant pour le faire.
  • À ce propos, on sait que la NSA est sur le point de réaliser un ordinateur quantique qui pourrait être capable de déchiffrer pas mal de choses…
  • Aux États-Unis un juge peut exiger avec un jugement secret une clé de chiffrement privée afin de déchiffrer tout le trafic d'un site web (ou tout le trafic d'un serveur mail) ou se faire passer pour le site web, on l'a vu avec l'exemple de LavaBit. En France on savait déjà que c'était possible depuis la LSQ en 2001 (cf. plus haut).
  • La NSA a fait pression pour que soit standardisés et utilisés des algorithmes de chiffrement qui contiennent des failles mathématiques permettant de déchiffrer les données simplement quand on connaît une constante mathématique (source).
  • La NSA a payé RSA (grosse compagnie de produits de sécurité, dont les produits sont utilisés dans le monde entier) pour utiliser cet algo dans ses produits (source).
  • Les services secrets américains ont des contrats secrets avec les services en ligne tels Google, Facebook, Twitter, Yahoo, Microsoft, etc. pour accéder directement aux données des utilisateurs.
  • On peut récupérer une clé secrète PGP simplement avec le micro d'un téléphone à côté d'un ordinateur, simplement en écoutant le bruit du microprocesseur (source, corrigé dans GnuPG juste après).
  • L'ensemble des méta-données téléphoniques (heure des appels, durée, identification de l'appelant et de l'appelé) : on sait qui vous appelez, quand et combien de temps. C'est déjà très précieux comme information ! Ceci dit comme les SMS et communications téléphoniques passent par Internet de nos jours on peut largement penser qu'ils sont aussi enregistrés et stockés en masse comme le reste des communications sur Internet.
  • Les sysadmins, développeurs et informaticiens sont particulièrement ciblés et surveillés, car ils peuvent permettre d'obtenir les clés d'accès à une architecture technique.
  • Personne n'est à l'abri : si le téléphone personnel des dirigeants de 35 pays est sur écoute, il faut se dire que le sien est probablement déjà sur une écoute, qu'elle soit passive ou active. Un seul exemple pour vous donner une idée : 60 millions d'appels téléphoniques ont été enregistrés et transmis en Espagne en un peu moins d'un mois. Et ce n'est que ce qu'on sait…
  • Les services de renseignement peuvent introduire un serveur sur l'infrastructure d'un fournisseur d'accès qui répond plus vite que le serveur d'origine pour se faire passer pour le site web. Par exemple les services secrets britanniques ont créé un faux site LinkedIn sur l'architecture de Belgacom, opérateur historique en Belgique (source).
  • La géolocalisation des téléphones du monde entier est effectuée au jour le jour en espionnant directement les fibres optiques qui traversent les océans, permettant de suivre les propriétaires de téléphones en temps réel en recueillant 5 milliards de coordonnées par jour.
  • Des pays comme l'Australie échangent avec les autres services de renseignement des bases de données sur ses citoyens contenant des informations sur leur état civil, leur dossier médical, leurs pratiques religieuses, etc.
  • Infiltration et aspiration du contenu du disque dur de tous les ordinateurs d'une entreprise, d'un journal ou d'une embassade.
  • Infiltration et espionnage massif des jeux vidéos comme World of Warcraft et même sur les consoles de jeu vidéo.
  • Il est possible de faire une fausse antenne de téléphonie mobile qui se fait passer pour une vraie antenne et enregistre toutes les communications à plusieurs kilomètres à la ronde.
  • Il existe un catalogue de centaines d'outils logiciels et matériels pour implanter des espions dans le matériel : disque dur, carte SD, prise ethernet, prise USB, BIOS, câble vidéo, etc.
  • Des serveurs et routeurs peuvent être compromis par des espions logiciels installés à distance et difficiles à détecter. Inquiétant quand à la sécurité des hébergeurs indépendants : est-ce que les serveurs et routeurs qu'ils ont acheté n'ont pas justement été livrés ou infectés avec un espion ?
  • Les téléphones iOS, Symbian, Android, Windows Mobile, etc. peuvent être infectés à distance par des espions qui stockent et transmettent les conversations, les messages, le carnet d'adresse, les photos, etc. et ce avec une collaboration présumée des constructeurs et notamment Apple.

... Oui ça fait beaucoup et encore je n'ai pas tout mis !

Il faut bien comprendre que même si beaucoup de ces révélations concernent des actions menées par la NSA il est très clair que la plupart des services nationaux (européens au moins) collaborent au plus près avec la NSA et transmettent souvent directement les informations. Donc tout cela n'est pas qu'un problème avec les États-Unis, mais un problème mondial. Et quand ce ne sont pas les services de renseignement ce sont des entreprises privées qui s'y mettent ! Tous les pays sont impliqués : la France, l'Australie, le Royaume-Uni, l'Allemagne, l'Italie, l'Espagne, la Nouvelle-Zélande, la Norvège ou même la Suède, considérée pourtant comme un paradis de la liberté d'expression.

Si vous pensez que tout cela n'est que pour surveiller les terroristes, détrompez-vous : comme je l'ai montré plus haut ce sont des milliards d'ordinateurs et téléphones qui sont suivis. Donc soit tout le monde est terroriste, soit il y a un « léger » problème d'espionnage massif et généralisé de la population mondiale… Et même si pour vous cela ressemble à de la science fiction soyez sûr que comme le souligne Bruce Schneier si certaines de ces techniques sont encore réservées aux gouvernements et agences d'espionnage, elles seront à n'en pas douter devenues publiques (et le sujets de thèses d'étudiants en informatique, ou de conférences au congrès du CCC allemand) dans les prochains mois ou années et exploitées par des entreprises ou des hackers.

Cette surveillance généralisée révèle en plein lumière l'état des pays dans lesquels nous vivons, qui se prétendent être des démocraties, mais qui sont en réalité des régimes totalitaires qui n'ont rien à envier à des pays comme la Chine ou la Corée du Nord. Nous sommes donc en territoire conquis, en territoire surveillé, dans un contexte hostile où nous sommes suspects en permanence. Il est donc plus que temps de s'armer et de combattre ce régime totalitaire.

Quelques idées pour contrer cet espionnage

On peut commencer par des idées évidentes :

  1. Ne plus utiliser d'appareil électronique. C'est radical, mais probablement efficace… si vous n'avez pas de voiture (pour éviter le permis de conduire qui contient une puce et les caméras sur les routes), que vous n'avez pas de compte en banque (pour éviter les caméras des distributeurs de billet), pas de carte bancaire (pour éviter de faire tracer vos achats et déplacements), que vous ne vous déplacez pas dans les nombreuses villes où les caméras pullulent, etc. Bref c'est pas gagné.
  2. Faire pression sur les politiques pour que la loi interdise et contrôle toutes ces techniques, qui sont actuellement entre illégalité franche et zone grise, quand elles ne sont pas cautionnées par des lois liberticides votées par la droite comme la gauche. Du bon côté il y a des élus de gauche comme de droite qui se battent contre ces lois liberticides. Mais ils restent très largement minoritaires. On l'a vu avec la loi sur la programmation militaire qui permet un espionnage massif en temps réel avec la participation des opérateurs. Bref c'est pas gagné non plus. Mais bon faut pas lâcher l'affaire quand même, et soutenir La Quadrature, qui abat un boulot énorme.

OK bon c'est cool comme idées mais un peu limité. On pourrait chercher des solutions un peu plus pratiques…

Quelques idées pratiques

En premier il me semble utile de lire et appliquer les conseils indiqués dans ces guides qui vous donneront plein de conseils utiles :

  • Security In A Box (en français) est un guide pratique et complet sur comment sécuriser son poste informatique, son téléphone, ses communications, etc.
  • A Quick Guide to Alternatives (en anglais) présente des logiciels qui permettent le chiffrement des communication et de laisser le moins de traces possibles
  • Me and my shadow (en anglais) explique les traces laissées par vos visites sur le web, votre téléphone portable, votre ordinateur, etc.
  • Encryption Works (en anglais) est un guide spécialisé dans le chiffrement des communications
  • CryptoParty Handbook (en anglais) est un guide très complet sur le chiffrement mais plus destiné aux gens qui ont déjà une connaissance technique
  • Guide de sécurité des journalistes (en français) donne des conseils aux journalistes, à côté des comportements à adopter en zone de guerre il y a un chapitre sur la sécurité informatique
  • Defending Privacy at the U.S. Border: A Guide for Travelers Carrying Digital Devices (en anglais) est un guide de l'EFF donnant des idées pour traverser la frontière américaine avec des appareils électroniques, mais ça peut être valables pour d'autres pays.

De là on peut déduire quelques règles comme celles-ci (liste non exhaustive et en bordel) :

Sur son ordinateur

  • Démonter et vérifier visuellement à la livraison les composants de l'ordinateur, ou plutôt acheter d'occasion en espèces de sorte à ce qu'un espion matériel ne puisse être implanté à l'avance.
  • Prendre des photos des composants et vérifier régulièrement qu'ils n'ont pas été modifiés en comparant aux photos.
  • Une idée pour savoir si l'ordinateur a été démonté est de mettre du vernis à ongle à paillettes sur les vis et en prendre une photo pour comparer (source)
  • Faire de même pour le clavier, la souris, les prises USB/Ethernet, l'écran et autres périphériques : des espions peuvent être insérés à ces endroits.
  • Placer un cadenas sur l'emplacement prévu pour sur le boîtier (pour les ordinateurs de bureau).
  • Mettre un morceau de scotch sur sa webcam (oui, oui, sérieusement).
  • Débrancher physiquement le microphone de l'ordinateur (même sur un ordi portable) ou désactiver la carte son.
  • Utiliser un antivirus, un firewall, anti-mouchard, etc.
  • Chiffrer son disque dur, ses emails, et configurer toutes ses connexions (mails, web, VPN, messagerie instantanée, etc.) pour utiliser du chiffrement !
  • Ne pas utiliser les services ou produits des grosses entreprises comme Google, Twitter, Facebook, Microsoft, Apple, Huawei, etc.
  • Utiliser TOR !
  • Utiliser un navigateur web suffisamment indépendant des multinationales américaines. Mais ça peut se révéler pas si simple que ça comme je l'explique dans ce billet.
  • Utiliser un bloqueur de pub comme AdBlock Edge (pas AdBlock Plus qui se fait payer pour accepter des pubs « non intrusives » comme celles de Google) et activer la liste Privacy
  • Utiliser Ghostery si vous n'utilisez pas la liste Privacy dans AdBlock. Même si vous faites confiance au site, par exemple Korben qui est souvent montré comme un blog pro-vie privée etc. comprend un paquet d'espions : Google Analytics, Doubleclick, Piwik, etc.
  • À défaut au moins bloquer les cookies tiers, en effet les cookies de Google Analytics servent par exemple à vous traquer de site en site. Aucun site ne peut être de confiance sur ce point, par exemple Korben, pourtant « connu » comme blog pro-chiffrement etc. vous balance des tas d'espions du genre sur toute ses pages.
  • Désactiver les espions et toutes les fonctionnalités de mise à jour automatique de votre navigateur, comme décrit ici
  • Désinstaller les certificats d'autorité fournis dans les navigateurs, n'accepter les certificats SSL qu'au cas par cas en vérifiant leur validité, ou en utilisant MonkeySphere. Au pire utiliser les certificats du paquet ca-certificates de Debian/Ubuntu.
  • Si on doit franchir une frontière : venir avec un disque dur vierge (l'idée étant de ne transporter aucune information personnelle) et utiliser une distribution « live » comme Tails sur une clé USB.
  • Pour effacer un disque dur, une clé USB ou une carte SD de ses données il ne suffit pas de formater, ou même de réécrire l'intégralité du support avec des zéros ou des données aléatoires. En effet le firmware du périphérique peut faire en sorte que des secteurs soient ignorés et non effacés (car marqués comme abimés par exemple). Et des données pourraient donc subsister. Seule manière efficace : la destruction physique.

Sur son téléphone

  • Le conseil de n'utiliser que des téléphones bas de gamme genre Nokia 3310 et non un smartphone (qui peut facilement être infecté à distance) peut sembler bon mais limité : tout téléphone peut être géolocalisé par triangulation, des malwares peuvent être transmis et installés sur la carte SIM par des messages SMS correctement formattés, etc.
  • Utiliser un téléphone vide de toutes données personnelles quand on traverse une frontière où qu'on se rend à un événement politique.
  • Réinstaller son smartphone Android avec une version libre d'Android comme Replicant si possible. Sinon CyanogenMod est une bonne alternative il semble.
  • Ne pas utiliser le magasin d'application de Google ou Apple, utiliser F-Droid par exemple.
  • Android : utiliser une application pour limiter les permissions données aux autres applications comme PDroid ou App Ops (sur Android 4.3, supprimé par Google dans Android 4.4…). Sinon CyanogenMod le permet par défaut.
  • Utiliser plutôt des applications J2ME dont la sécurité est très forte (permissions restreintes par défaut, il faut autoriser au cas par cas).
  • Android : utiliser Advanced Task Killer pour faire que l'OS ferme les applications plutôt que de toutes les laisser ouvertes sans trop savoir ce qu'elles dont en arrière-plan…
  • Activer le chiffrement des données du téléphone (quand c'est possible).
  • Sur plateformes J2ME : utiliser KeePassMobile ou KeePassJ2ME pour stocker des informations chiffrées si le téléphone ne permet pas de chiffrement.
  • Une autre idée simple : utiliser son smartphone sans carte SIM pour regarder des vidéos, surfer en wifi etc., et utiliser un téléphone simple ne contenant pas de données en tant que téléphone.
  • Chiffrer ses communications, par exemple en utilisant un client Jabber supportant SSL, comme BombusMod (J2ME), ou TextSecure et RedPhone (Android) pour les appels et les SMS (sous J2ME il existe CryptoSMS).
  • Toujours conserver le téléphone avec soi, ne jamais le laisser sur une table, chez quelqu'un, etc. ne pas le sortir en public.
  • Mettre du vernis à ongle ou autre trace genre autocollant sur les vis, sur la carte SIM, la carte mémoire, la batterie pour vérifier que personne n'a été trifouillé par là.
  • Si vous devez vous débarrasser de la carte SIM détruisez-là en la découpant en plusieurs morceaux.
  • Pour un téléphone « anonyme » évitez de le laisser éteint et de ne le rallumer que pour faire un appel : ce comportement suspect pourrait le faire détecter. Laissez le allumé à un endroit fixe quand vous ne vous en servez pas. Ne pas réintroduire une nouvelle carte SIM à usage unique dans un téléphone déjà utilisé pour le même usage, changer de téléphone comme de carte SIM.

Sur son serveur :

  • Améliorer le chiffrement sur ses serveurs en suivant les recommandations pratiques de Better Crypto (dans le PDF, voir directement Practical Recommandations pour les configs Apache, lighttpd, OpenSSH etc. à appliquer).
  • Chiffrer le contenu des serveurs, les communications entre les serveurs et les communications avec les utilisateurs !
  • Vérifier à la livraison que le matériel n'a pas été modifié avec un espion matériel ou mieux acheter son matériel d'occasion en espèces là où on peut penser qu'il n'a pas déjà été modifié avec des espions logiciels ou matériels.
  • Prendre en photo les composants du matériel et comparer régulièrement si le matériel a été modifié à notre insu.
  • Inspecter le trafic de chaque matériel régulièrement pour vérifier qu'il ne transmet pas d'information à notre insu.
  • Conserver le matériel de rechange (spare) dans un lieu fermé à clé et prévoir des astuces comme le vernis à ongle à paillettes pour voir si le matériel a été ouvert.
  • Vérifier que le trafic entre vos serveurs et routeurs passe uniquement par des câbles situés dans votre baie, qu'elle soit fermée à clé et vérifier régulièrement le câblage.
  • Sécuriser les serveurs en place : soudure, clé, etc. pour qu'un serveur ne puisse être saisi, déplacé ou modifier sans votre accord.

Je vous recommande de visionner les conférences du 30ème congrès du CCC, qui a été particulièrement passionnant, pour se rendre compte de l'étendue du problème :

Et en bonus pour en rajouter sur la parano vous pouvez regarder cette conférence rigolote et intéressante où un artiste-photographe prend en photo les installations secrètes, les satellites espions et les drones américains. Vous serez rassurés quand vous verrez que les USA ont des satellites positionnés à côté des satellites étrangers pour espionner les communications qui y passent… Seeing the secret states : six landscapes.

Et est-ce que tout ça va changer quelque chose ? Je serais bien incapable de le dire. Est-ce que tout cela n'est pas inéluctable ? Ne sommes-nous pas à l'orée d'une période de totalitarisme mondial dont il soit impossible de s'extraire ? Je suis peut-être pessimiste mais cela me semble être un risque réel.

Écrire un commentaire
(facultatif)
(facultatif)
(obligatoire)
 _                               _ _ _      
| |_ _ __ __ _ _ __   __ _ _   _(_) | | ___ 
| __| '__/ _` | '_ \ / _` | | | | | | |/ _ \
| |_| | | (_| | | | | (_| | |_| | | | |  __/
 \__|_|  \__,_|_| |_|\__, |\__,_|_|_|_|\___|
                        |_|                 
(obligatoire)

Les adresses internet seront converties automatiquement.
Tags autorisés : <blockquote> <cite> <pre> <code> <var> <strong> <em> <del> <ins> <kbd> <samp> <abbr>