Un lanceur d’alerte a accus le Pentagone d’avoir achet un outil de surveillance de masse pour collecter les donnes de navigation des Amricains sur le Web. Mercredi, le snateur amricain Ron Wyden a repris les allgations du lanceur d’alerte anonyme prtextant que l’arme et plusieurs services amricains de renseignement ont pay un courtier en donnes pour avoir accs aux journaux de trafic Internet, ce qui pourrait rvler les historiques de navigation en ligne des citoyens amricains. Le snateur Ron Wyden a exhort les inspecteurs gnraux de trois dpartements enquter sur les achats de grandes quantits de donnes par l’arme.
L’arme amricaine collecterait une grande quantit de donnes sur les Amricains
L’arme amricaine se retrouve de nouveau frappe par un scandale de surveillance de masse, aprs les accusations de fin 2020 selon lesquelles elle aurait achet des donnes de localisation partir d’applications ordinaires, parmi lesquelles une application de prire musulmane populaire. Cette fois, selon les allgations d’un lanceur d’alerte, rendues publiques par le snateur dmocrate Ron Wyden, au moins quatre agences du ministre de la Dfense des tats-Unis, dont l’arme et la marine, ont dpens collectivement au moins 3,5 millions de dollars pour un outil de surveillance des donnes dvelopp par la socit de cyberscurit Team Cymru.
Team Cymru, base en Floride, a dvelopp Augury, un outil capable de donner accs de vastes pans de donnes de courrier lectronique et d’activits de navigation sur Internet. L’entreprise affirme que son produit fournit aux clients une « grande majorit de donnes sur toutes les activits sur Internet » et une « visibilit » sur plus de 90 % du trafic Internet. En outre, dans une plainte dpose auprs du ministre amricain de la Dfense (DOJ), Wyden note que le lanceur d’alerte a galement voqu l’utilisation et l’achat prsums sans mandat de ces donnes par le NCIS, une agence civile d’application de la loi qui fait partie de la marine amricaine.
Le document rvle la vente et l’utilisation d’une capacit de surveillance jusqu’alors peu connue, alimente par des achats de donnes auprs du secteur priv. L’outil de collecte de donnes de Team Cymru regroupe une quantit massive de donnes qu’elle met la disposition des gouvernements et des socits en tant que service payant. Dans le secteur priv, les analystes en cyberscurit l’utiliseraient pour suivre l’activit des pirates informatiques ou attribuer des cyberattaques. Et dans le monde gouvernemental, les analystes pourraient faire de mme, mais les agences qui s’occupent d’enqutes criminelles ont galement achet cette capacit.
Les agences militaires n’ont pas dcrit leurs cas d’utilisation de l’outil. Cependant, la vente de l’outil met en vidence la faon dont Team Cymru obtient ces donnes controverses et les vend ensuite comme une entreprise, ce qui a alarm de multiples sources dans le secteur de la cyberscurit. Ces donnes permettent aux militaires de suivre l’utilisation d’Internet en utilisant une quantit incroyable d’informations sensibles. Selon les analystes, dans certains cas, l’accs ces donnes requiert un mandat ou un autre mcanisme lgal. Mais l’arme contourne cela simplement en achetant ces donnes disponibles dans le commerce auprs de socits prives.
Les donnes du rseau comprennent des donnes provenant de plus de 550 points de collecte dans le monde entier, pour inclure des points de collecte en Europe, au Moyen-Orient, en Amrique du Nord/Sud, en Afrique et en Asie, et sont mises jour avec au moins 100 milliards de nouveaux enregistrements chaque jour , peut-on lire dans une description de la plateforme Augury dans un dossier d’achat du gouvernement amricain examin. Elle ajoute qu’Augury donne accs des « ptaoctets » de donnes actuelles et historiques. Le plus souvent, les ventes porteraient sur les donnes de localisation rcoltes sur les smartphones.
Les achats d’Augury montrent que cette approche consistant acheter l’accs aux donnes s’tend galement aux informations plus directement lies l’utilisation d’Internet. Selon le site Web de Team Cymru, Augury met la disposition de ses utilisateurs un large ventail de diffrents types de donnes Internet. Ces types de donnes comprennent les donnes de capture de paquets (PCAP) lies aux protocoles de messagerie, de bureau distance et de partage de fichiers. Les PCAP font gnralement rfrence une capture complte des donnes et englobent des informations trs dtailles sur l’activit du rseau.
Les donnes PCAP comprennent la requte envoye d’un serveur un autre, ainsi que la rponse de ce serveur. Les donnes PCAP sont tout. C’est tout. Il n’y a rien d’autre capturer que l’odeur de l’lectricit , a dclar Zach Edwards, un chercheur en cyberscurit. Selon d’autres dtails sur l’outil, les donnes d’Augury peuvent galement inclure l’activit du navigateur Web, comme les URL visites et l’utilisation des cookies qui peuvent tre efficaces pour le suivi. Par exemple, Facebook et Google, deux acteurs de la publicit en ligne, utilisent les cookies pour suivre un utilisateur particulier d’un site Web l’autre et suivre son activit.
Selon les analystes, Augury contient galement des donnes dites « netflow », qui donnent une image du flux et du volume du trafic sur un rseau. Il peut permettre de savoir quel serveur a communiqu avec un autre, ce qui est une information qui n’est normalement disponible que pour le propritaire du serveur lui-mme ou pour le fournisseur de services Internet qui achemine le trafic. De multiples sources dans le secteur de la cyberscurit ont dclar que les donnes netflow peuvent tre utiles pour identifier l’infrastructure utilise par les pirates. Cela inclut, semble-t-il, la possibilit de suivre le trafic travers les rseaux privs virtuels (VPN).
Team Cymru obtient ces donnes netflow auprs des FAI ; en retour, Team Cymru fournit aux FAI des renseignements sur les menaces. Ce transfert de donnes se fait probablement sans le consentement clair des utilisateurs des FAI. Selon une source familire avec les donnes netflow, « les utilisateurs ne savent certainement pas que leurs donnes sont fournies Team Cymru, qui en vend ensuite l’accs ». Les analystes ont nanmoins dclar qu’ils ne savent pas exactement o Team Cymru obtient les donnes PCAP et d’autres informations plus sensibles, que ce soit auprs des FAI ou par une autre mthode.
Plusieurs agences fdrales amricaines seraient impliques dans la collecte
Interroge sur le sujet, Team Cymru a dclar : notre plateforme ne fournit pas d’informations sur les utilisateurs ou les abonns, et elle ne fournit pas de rsultats qui montrent un quelconque schma de vie, ce qui empche sa capacit tre utilise pour cibler des individus. Notre plateforme ne capture qu’un chantillon limit des donnes disponibles, et est encore plus restreinte en n’autorisant que des requtes sur des donnes limites et chantillon restreint, qui proviennent toutes de logiciels malveillants, d’activits malveillantes, de pots de miel, de scans et de tiers qui fournissent des flux de ces mmes donnes .
Les rsultats sont alors encore plus limits dans la porte et le volume de ce qui est renvoy , a ajout l’entreprise. Certains ont cependant utilis les donnes de Team Cymru pour identifier des ordinateurs spcifiques et ensuite contacter la personne qui les utilise. En juillet 2021, des chercheurs du Citizen Lab ont publi un rapport sur le fournisseur isralien de logiciels espions Candiru. Selon le rapport, les chercheurs ont utilis les donnes de Team Cymru pour identifier un ordinateur qui, selon eux, avait t infect par le logiciel malveillant de Candiru, et qu’ils avaient ensuite contact le propritaire de cet ordinateur.
Wyden a crit mercredi aux inspecteurs gnraux des dpartements de la Dfense, de la Justice et de la Scurit intrieure, leur demandant instamment d’enquter sur l’achat de donnes par leurs agences respectives, affirmant qu’il avait confirm que « de multiples agences gouvernementales achtent des donnes d’Amricains sans autorisation judiciaire ». Si Augury a t dvelopp par Team Cymru, l’outil de collecte de donnes est distribu par le contractant Argonne Ridge Group, qui partage « la mme adresse d’entreprise » que Team Cymru, avec lequel Argonne Ridge Group a galement « des dirigeants d’entreprise communs ».
Wyden a dclar que les archives montrent qu’Argonne a conclu des contrats avec l’US Cyber Command, l’arme, le FBI et les services secrets amricains. Wyden a cit en outre des services tels que la Defense Intelligence Agency, la Defense Counterintelligence and Security Agency et l’US Customs and Border Protection (CBP). L’enqute de Wyden sur les achats du gouvernement se poursuit. Ces rvlations ont suscit l’inquitude des groupes de dfense des droits, dont l’American Civil Liberties Union (ACLU), qui a dclar qu’une plus grande transparence tait ncessaire pour comprendre comment les agences gouvernementales utilisent ces donnes.
Les enregistrements de la navigation sur le Web peuvent rvler des informations extrmement sensibles sur qui nous sommes et ce que nous lisons en ligne. Nous devons en savoir beaucoup plus sur la faon dont les agences militaires et policires exploitent leur accs sans mandat nos informations prives , a dclar Patrick Toomey, directeur adjoint du projet de scurit nationale de l’ACLU. Un porte-parole de Team Cymru a affirm que les reportages sur ses contrats gouvernementaux sont « faux et trompeurs », et a dclar que les « allgations » concernant les capacits de son logiciel sont « sans fondement ».
Le porte-parole n’a pas prcis quelles taient les allgations qu’il jugeait fausses ni fourni d’autres dtails sur son produit pour corriger le tir. Cette nouvelle intervient alors que des lgislateurs fdraux s’efforcent d’enquter sur l’acquisition par le gouvernement amricain de donnes que les agences devraient autrement obtenir par mandat. Le mois dernier, deux des principaux dmocrates de la Chambre des reprsentants – Jerrold Nadler et Bennie Thompson – ont exig que le FBI et le DHS divulguent les dtails des achats prsums de donnes qui rvlent l’activit de navigation sur Internet et les emplacements prcis des utilisateurs.
Alors qu’une dcision de la Cour suprme des tats-Unis en 2018 a estim que le gouvernement ne peut pas acqurir des donnes de localisation sensibles sans un mandat, plusieurs agences gouvernementales sont accuses d’avoir choisi d’interprter la dcision de manire troite, en exemptant les donnes qui – plutt que d’tre exiges – sont acquises commercialement. En d’autres termes, le gouvernement achte littralement son chemin autour du quatrime amendement. Les agences fdrales ne sont pas les seules agir ainsi. La police amricaine et d’autres forces de l’ordre seraient galement concernes.
Vendredi dernier, la reprsentante Anna Eshoo a demand la Commission fdrale du commerce (FTC) d’enquter sur un logiciel de police rcemment rvl, connu sous le nom de Fog Reveal, qui permet aux forces de l’ordre de cartographier les mouvements des Amricains « des mois en arrire ». Ce service ne s’appuie pas sur des donnes netflow, mais sur des donnes de localisation extraites de centaines d’applications grand public, prtendument des fins publicitaires.
Les consommateurs ne ralisent pas qu’ils annulent potentiellement leurs droits au quatrime amendement lorsqu’ils tlchargent et utilisent des applications gratuites sur leurs tlphones. Il serait difficile d’imaginer que les consommateurs y consentent s’ils en avaient la possibilit, mais c’est pourtant ce qui se passe , a dclar Eshoo.
Sources : Team Cymru, Augury (1, 2), le snateur Ron Wyden (1, 2), Citizen Lab
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous des capacits de surveillance offertes par le logiciel Augury ?
Que pensez-vous de son utilisation par l’arme amricaine et d’autres agences fdrales du pays ?
Selon vous, la surveillance de masse permet-elle rellement de lutter efficacement contre la criminalit et le terrorisme ?
Voir aussi