Depuis que Google et une trentaine d’entreprises américaines ont subit quelques indélicatesses il y a trois semaines sans doute en provenance du gouvernement chinois, l’histoire n’en fini plus de rebondir et de créer autant de mini-buzzes sur le Web.
Dernier en date, on apprenait jeudi grace au très sérieux Washington Post (article complet ) que le géant d’Internet s’offrirait à présent les services de la très secrète NSA, l’agence de renseignement américaine en charge de l’interception et de la surveillance des communications.
L’idée de cette collaboration serait que la NSA aide Google à analyser l’attaque dont il a été victime, en partageant pour cela des informations sensibles sans pour autant que Google de son coté ne viole la vie privée de ses utilisateurs (sic).
L’image sulfureuse de l’ultra-secrète NSA alimente facilement les fantasmes et on entend déjà cà et là parler d’analyse de codes sources, d’étude d’infrastructure de sécurité (que le lecteur averti traduira par pentesting), reversing, forensic…
Au delà des théories hollywoodiennes sur cette agence, essayons de voir un peu comment fonctionnent ces organismes à trois lettres dont on est friants outre Atlantique afin d’essayer de comprendre quel peut être le role réel de la NSA dans cette histoire.
Contrairement à une idée répandue par l’industrie du cinéma, le monde du renseignement n’est pas un immense cirque où chacun des acteurs “à trois lettres” serait omnipotent en termes de capacités techniques mais aussi en termes de juridiction.
Ainsi, la NSA est une agence dont la mission tourne autour du renseignement exterieur à l’image du mandat de la CIA par exemple et qui pour celà est spécialisée dans l’interception, le suivi, la localisation, l’analyse, le déchiffrement et l’écoute des communications dans le monde entier. Un exemple connu est le célèbre réseau d’écoutes Echelon.
Mais si ses capteurs sont tournés vers l’exterieur, dans de rares exceptions lorsque la sécurité du territoire est impliquée elle peut participer au renseignement intérieur (c’est à dire sur le territoire des Etats Unis), mandatée en celà et subordonnée au Homeland Security et au FBI. Il est important à ce titre de bien comprendre quelles agences relèvent de la Défense (l’armée, l’exterieur) et quelles agences relèvent de l’Intérieur (travail de police).
Tout ce beau monde ne fait pas le même boulot dans la même juridiction et mis à part quelques scandales dont un récent sous l’administration W.Bush, aucune ne s’aventure sauf raison exceptionnelle et mandat à écouter du mauvais coté de la porte.
Les américains ont ceci de procédurier qu’ils collent vite un Machin-Gate à ce genre d’écarts propres à faire vasciller des administrations.
La NSA fait donc des écoutes. Ceci se comprend au sens large de toute forme de communication : radio bien sûr, gsm, satellite (Iridium, Thuraya…) mais aussi Internet en général et mails en particulier pour lequels ses oreilles ont un intéret prononcé pour les grands backbones trans-continentaux, ces gigantesques “tuyaux” qui font transiter les données d’Europe en Amérique. Ou de Chine en Californie…
Ce qui est particulièrement intéressant s’agissant des communications Internet, c’est que plutot que le réseau très maillé, la véritable toile d’araignée que beaucoup s’imaginent (et qui existe bien sur la terre ferme continentale), le réseau trans-continents n’est quant à lui composé que de quelques grands tuyaux.
De ce fait par exemple, tout le traffic Internet en provenance d’Asie traverse le Pacifique pour atterrir dans tous les cas à Morro Bay (CA), San Luis Obispo puis San Francisco où se refera à nouveau un dispatching pour le monde entier. Mais si vous êtes là, au 611 Folsom Street , vous écoutez l’Asie.
Et la NSA ne s’en prive pas, puisqu’elle y a sa propre dérivation.
Le lecteur pourra à ce sujet se référer à l’excellent documentaire “NSA, l’agence de l’ombre” ( streaming Dailymotion ). C’est donc à ce niveau qu’elle peut apporter une information sur les attaques qu’ont subit Google et certaines entreprises américaines: analyse des communications et surtout leur provenance. Car c’est la question majeure aujourd’hui dans cette affaire pour l’administration américaine : le gouvernement chinois est il ou non l’initiateur de l’attaque ?
Pas d’analyse de code ni de tests de pénétration de la sécurité de Google donc. Ce n’est pas le travail de la NSA, tout simplement. De plus, tant que l’origine exterieure de l’attaque vis à vis d’intérets sur le sol américain n’est pas clairement prouvée (elle n’est que fortement suspectée) il ne s’agit encore que d’un problème de sécurité intérieure.
Qui donc s’occupe dès lors de ce domaine ?
Le renseignement intérieur relevant du domaine du FBI, en matières de technologies de l’information c’est une branche particulière du célèbre Bureau qui est en charge : le Centre National de Protection des Infrastructures ( NIPC ), qui a pour mission la surveillance et la protection des réseaux informatiques sur le territoire. Son bras armé est le CIS, le Computer Intrusion Squad.
Le NIPC comprend tout de même des cellules de liaison inter-agences permettant de coordonner son action et de partager certaines informations avec celles ci et notamment bien sûr la NSA.
Cependant c’est une cellule en particulier au sein du NIPC qui est directement concernée par “l’attaque Google” : le Computer Investigations and Operations Section (CIOS), dont la mission est justement la réaction aux cyber-attaques y compris venant de l’exterieur et précisément dans le cas où celles ci relèvent de l’espionnage. On est en plein dedans, voila pour le forensic.
C’est une autre cellule, l’Analysis and Warning Section (AWS) qui est en charge de la “préparation à la menace”, en amont. C’est là qu’on va trouver analyses de niveaux d’alertes (veille technologique) et pentesting.
Comme on le voit, la NSA n’est pas mythe qui fait tout et partout, les rôles restent clairement définis dans un domaine dont les juridictions sont complexes. Reste bien sûr au delà de la question du champ de compétences celle de la protection des libertés des utilisateurs au moment où les deux géants de la collecte d’information vont échanger leurs données. Google promet de ne pas violer la vie privée de ses utilisateurs.
On peut cependant craindre quand même sans aller jusqu’au viol quelques bonnes mains aux fesses…
Entries (RSS)