Des services secrets, nous ne savons que les échecs et rarement les succès. Si l'échec provoque l'anathème, l'ingratitude est fille de la victoire. Quand à la gloire, il faut l'oublier, elle est pour les autres...

mardi 3 novembre 2020

Le renseignement militaire danois s'appuie sur XKeyscore pour mettre sur écoute des câbles de télécommunications

 

En 2013, le monde a découvert XKeyscore grâce aux informations fournies par Snowden. XKeyscore désigne un programme de surveillance de la NSA, mais également l’ensemble des logiciels que l’agence a utilisés pour lancer cette surveillance de masse opérée conjointement avec les services de renseignements britanniques, canadiens, australiens et néo-zélandais, services dont la coopération historique en matière de partage de l'information a entraîné le surnom des « Five Eyes ». Il permettrait une « collecte quasi systématique des activités de tout utilisateur sur Internet », grâce à plus de 700 serveurs localisés dans plusieurs dizaines de pays.

XKeyscore est capable d’examiner tout ce qu’un utilisateur fait sur la toile. Cela comprend les mails envoyés, les mots de passe de session, les accès aux réseaux sociaux, l’historique de navigation, les recherches effectuées sur la toile et bien plus encore. Presque aucune information sur la toile n’échappe à ce programme.

C’est avec ce programme que la NSA aurait même espionné le secrétaire général de l’ONU Ban Ki-Moon avant un entretien avec le président américain Barack Obama. Selon les publications internes de la NSA rendues publiques par The Intercept, la NSA s’est targuée d’avoir piraté les différents points d’entretien listés par Ban Ki-Moon avant la réunion avec le président américain. Cela a permis au président de se préparer en conséquence.

Lors de la publication des documents relatifs à XKeyscore, il a été indiqué que l'outil se servait de plus de 500 serveurs répartis sur près de 150 sites à travers le monde.

Les diapositives publiées par The Guardian ont montré comment l’outil permettait à la NSA d’accéder en temps réel aux données de navigation sur internet d’un utilisateur, aux emails, aux réseaux sociaux, aux recherches, etc. Bref, tout l’historique de navigation d’un utilisateur lambda était accessible. « La NSA peut recueillir tout ce qu’elle veut sur Internet […] leurs analystes peuvent lire vos mails, connaître les sites que vous avez visités, retrouver les termes de recherche sur Google que vous avez saisis et à peu près tout ce que vous faites sur Internet. C’est un outil qui n’a pas de limite », note The Guardian.

Le renseignement militaire danois s'appuie sur XKeyscore

En août dernier, un lanceur d'alerte (whistleblower) a accusé le service danois de renseignement militaire et électromagnétique (Forsvarets Efterretningstjeneste ou FE) d'activités illégales en plus d'accuser le service d'induire délibérément en erreur le conseil de surveillance du renseignement.

Pendant ce temps, la presse danoise a pu brosser un tableau étonnamment complet et détaillé de la manière dont la FE a coopéré avec la NSA dans le domaine de la mise sur écoute sur le sol danois. Il a en outre été révélé que les Américains avaient fourni au Danemark un nouveau système d'espionnage sophistiqué qui comprend le système de traitement de données de la NSA XKEYSCORE.

Un journal danois a également révélé que l'accusation de collecte illégale émanait d'un jeune employé de la FE qui rappelle les actions menées par Edward Snowden relative à son pays. Une commission d'enquête nouvellement créée doit maintenant déterminer s'il s'agit de collecte illégale de données.

Mise sur écoute des câbles de télécommunications

Dans un article détaillé du 13 septembre, le journal danois Berlingske décrit comment la FE, en coopération avec la NSA, a commencé à exploiter un câble de télécommunications international afin de recueillir des renseignements étrangers.

Au milieu des années 1990, la NSA avait découvert que quelque part sous Copenhague, il y avait un câble dorsal contenant des appels téléphoniques, des courriels et des messages texte de et vers des pays comme la Chine et la Russie, ce qui était d'un grand intérêt pour les Américains. Comme le suggère son nom dérivé de l’anatomie, le câble dorsal est la principale partie d’un réseau, à partir de laquelle dérivent les autres éléments. Le câblage dorsal est la partie du câblage réseau qui se connecte entre les différentes pièces et les panneaux de communication. Il est aussi appelé réseau fédérateur, backbone, épine dorsale, ou cœur de réseau. C’est cette partie qui transporte le plus grand nombre de fibres et qui possède – en principe - la plus grande longueur de câble.

Cependant, il était presque impossible d'exploiter ce câble sans l'aide des Danois. La NSA a donc demandé à la FE l'accès au câble, mais cette demande a été refusée, selon Berlingske.

Accord avec les États-Unis

Le gouvernement américain n'a pas abandonné et, dans une lettre envoyée directement au Premier ministre danois Poul Nyrup Rasmussen, le président américain Clinton a demandé à son collègue danois de reconsidérer sa décision. Et Nyrup, qui était un partisan d'une relation étroite avec les États-Unis, a accepté.

La coopération était inscrite dans un document que, selon Berlingske, tous les ministres danois de la défense devaient signer « pour que tout nouveau ministre puisse voir que son prédécesseur - et les prédécesseurs avant ses prédécesseurs - avec leurs signatures avaient fait partie de ce petit cercle exclusif de personnes qui connaissaient l'un des plus grands secrets du royaume. »

Le nom de code de cette coopération n'est pas connu, mais il fait probablement partie du programme RAMPART-A de la NSA. Dans le cadre de ce programme, qui a débuté en 1992, des partenaires étrangers donnent accès à des câbles internationaux à fibre optique de grande capacité, tandis que les États-Unis fournissent les équipements de transport, de traitement et d'analyse:

Diapositive d'une présentation de la NSA sur RAMPART-A d'octobre 2010


Accord avec un câblo-opérateur

Pour s'assurer que l'écoute du câble était aussi légale que possible, le gouvernement a demandé l'approbation de la société privée danoise qui exploitait le câble. La société a accepté, mais seulement lorsque l'accord a été approuvé au plus haut niveau, notamment après la signature par le Premier ministre Rasmussen, le ministre de la Défense Hækkerup et le chef du département Troldborg.

Comme le câble contenait des télécommunications internationales, il était considéré comme relevant du mandat de renseignement étranger de la FE. L'accord a été préparé en un seul exemplaire, qui a été montré à l'entreprise puis enfermé dans un coffre-fort au siège de la FE à la forteresse de Kastellet à Copenhague, selon Berlingske.

Cet accord danois est très similaire à l'accord de transit entre le service allemand de renseignement étranger BND et Deutsche Telekom, dans lequel ce dernier a accepté de fournir l'accès aux câbles de transit internationaux à son centre de commutation de Francfort-sur-le-Main. Le BND a ensuite exploité ces câbles avec l'aide de la NSA sous l'opération Eikonal (2004-2008).

Traitement chez Sandagergård

Berlingske a rapporté que les données de communication qui ont été extraites du câble dorsal à Copenhague ont été envoyées du centre technique de la société danoise au complexe Sandagergård de la FE sur l'île d'Amager. Les États-Unis avaient payé un câble entre les deux sites.

A Sandagergård, « la NSA s'est assurée d'installer la technologie qui permettait de saisir des mots-clés et de traduire l'énorme quantité d'informations, dites brutes issues de la prise de câble, en informations "lisibles"».

Le système de filtrage n'était pas seulement alimenté par des mots-clés de la FE, mais la NSA a également fourni « à la FE une série de mots-clés pertinents pour les États-Unis. La FE les a examiné ensuite (notamment pour vérifier qu'il n'y avait fondamentalement pas de Danois parmi eux) puis a entré les mots-clés », selon les sources citées par Berlingske.

Outre ce filtrage par mots-clés, la FE et la NSA auraient également utilisé les métadonnées pour du contact chaining, ce qui signifie en gros déterminer quels numéros de téléphone et adresses e-mail ont été en contact les uns avec les autres, afin de créer des graphiques de communications, une information sur laquelle les sources ne voulaient apparemment pas s'étendre avec Berlingske.


Carte des câbles dorsaux actuels autour de la capitale danoise Copenhague et du complexe Sandagergård de la FE sur l'île d'Amager

Partenaires de confiance

Une partie de l'accord entre les États-Unis et le Danemark était que « les États-Unis n'utilisent pas le système contre les citoyens et les entreprises danois. Et vice-versa ». Des mots similaires peuvent être trouvés dans une présentation de la NSA de 2011 : « No US collection by Partner and No Host Country collection by US » (bien que cela soit suivi de « il y a des exceptions! »)

Cette dernière remarque a peut-être inspiré Edward Snowden à accuser la NSA d'abuser de ces coopérations avec des agences partenaires étrangères pour espionner des citoyens européens, mais comme une source l'a déclaré à Berlingske:

« Je ne peux pas du tout m'imaginer que la NSA trahirait cette confiance. Je considère cet évènement comme étant totalement improbable. Si la NSA avait le désir d'obtenir des informations sur des citoyens ou des entreprises danois, les États-Unis se tourneraient simplement vers [la service de sécurité domestique] PET, qui fournirait alors la base juridique nécessaire. »

La source a également déclaré que « la NSA a fait tout ce que le Danemark demandait, sans discussion. La NSA a continuellement aidé le Danemark - en raison de cet accès par câble. [...] Le Danemark était un partenaire des plus proches et appréciés. »

Cette coopération étroite et fructueuse était apparemment l'une des raisons de la visite du président Bill Clinton au Danemark en juillet 1997, selon Berlingske.


Le Premier ministre danois Poul Nyrup Rasmussen et le président américain Bill Clinton
 lors de sa visite au Danemark en juillet 1997


Un nouveau système d'espionnage

À la suite du scandale FE, il y a eu des développements encore plus récents : un rapport du radiodiffuseur danois DR du 24 septembre 2020 fournit des détails intéressants sur la manière dont les Américains ont fourni au Danemark un nouveau « système d'espionnage » sophistiqué.

Après que la FE ait eu un nouveau responsable des achats en 2008, les employés de la NSA se sont fréquemment rendus au Danemark pendant un certain temps pour construire le matériel nécessaire et installer le logiciel requis pour le nouveau système, que DR News décrit comme extrêmement avancé. Il a également un nom de code interne spécial, que le diffuseur a décidé de ne pas publier. C'est aussi ce nouveau système à travers lequel la prétendue collecte illégale de données danoises a eu lieu.

Selon DR News, les techniciens de la NSA ont également été impliqués dans la construction d'un nouveau centre de données dans le complexe Sandagergård de la FE sur Amager, spécialement construit pour abriter le nouveau système d'espionnage, qui a été mis en service entre 2012 et 2014. La coopération entre la FE et la NSA sur ce système spécifique était basé sur un protocole d'accord (MoU - Memorandum of Understanding) signé par Thomas Ahrenkiel, alors chef de la FE.

Systèmes de filtration

Le rapport de DR News donne également plus de détails sur le processus d'interception. Il dit que tout d'abord, le service de renseignement identifie un flux de données qui peut être intéressant, après quoi il « reflète » la lumière qui passe à travers les câbles à fibres optiques particuliers. De cette manière, ils copient à la fois les métadonnées et le contenu, comme les messages texte, les conversations de chat, les appels téléphoniques et les e-mails, et les envoient au centre de données de FE à Sandagergård.

Selon DR News, la FE a tenté de développer un certain nombre de filtres pour garantir que les données des citoyens et des entreprises danoises soient triées et non consultables par le nouveau système d'espionnage. L'ancien ministre danois de la Défense, Claus Hjort Frederiksen, a récemment déclaré qu'il y avait effectivement une tentative de développer de tels filtres, mais en même temps il a admis qu'il ne peut y avoir aucune garantie qu'aucune information danoise ne passera.

DR News a également rapporté que le cœur du nouveau système d'espionnage est formé par XKEYSCORE.

Collecte illégale ?

Maintenant que les diverses révélations de la presse danoise ont donné un aperçu des activités d'écoute de câble de FE, qu'en est-il des abus dont il est accusé ?

Selon DR News, c'était le système d'espionnage nouvellement installé par lequel la prétendue collecte illégale de données danoises a eu lieu. En premier lieu, nous pouvons supposer que les filtres n'ont pas pu bloquer toutes les communications relatives aux citoyens, résidents ou entreprises danois, mais cela est de nature technique et non intentionnelle.

Une autre option est que la FE elle-même ou la NSA alimente le système avec des sélecteurs (comme des numéros de téléphone et des adresses électroniques) qui aboutiraient à la collecte de données danoises. La NSA n'aurait pas été autorisée à faire cela en vertu de l'accord avec les Danois, alors que pour la FE, cela serait contraire à la loi.

Selon une source citée dans l'article du journal Berlingske susmentionné, il y a eu un cas dans lequel « la NSA a envoyé une demande de recherche d'une entreprise dans un pays d'Asie, mais lorsque la FE a vérifié le sélecteur, elle a découvert que l'entreprise était détenue par une entité danoise, suite à quoi la demande a été rejetée ».

Une troisième option est que la collecte illégale a eu lieu grâce aux capacités de recherche de données supplémentaires du système XKEYSCORE, ce qui est imaginable car ici les critères de recherche sont appliqués aux caractéristiques du contenu des communications, au lieu des personnes impliquées.

Selon Berlingske, le lanceur d'alerte qui a informé le conseil de surveillance du renseignement « craignait que la direction du Defense Intelligence Service fasse des affaires aux États-Unis en laissant son système spécial avec des vulnérabilités techniques qui permettaient à la National Security Agency d'en abuser ».

Le lanceur d'alerte

Berlingske a également été en mesure d'identifier le lanceur d'alerte comme étant un jeune employé de la FE, travaillant comme spécialiste en informatique - une similitude frappante avec Edward Snowden. Le journal dit qu'en 2013, il est devenu de plus en plus préoccupé, mais il n'est pas clair si cela a pu être causé par les révélations de Snowden, qui ont commencé en juin de cette année et comprenaient des rapports sur XKEYSCORE, le système qui venait d'être installé à la FE.

Alors que l'informaticien insistait sur ses critiques, Thomas Ahrenkiel, qui était alors le chef de la FE, a décidé (sans en informer les Américains) de mettre en place un groupe de travail technique pour parcourir le système à la recherche de vulnérabilités ou de signes d'abus de la NSA. Comme le rapporte Berlingske, l'informaticien lui-même, dans le but de le rassurer, a également participé au groupe de travail qui a conclu en 2014 qu'il n'y avait aucun signe d'intrusion illégale.

Pour le FE, l'affaire a été classée, mais, comme l'a rapporté Berlingske, l'informaticien n'était pas satisfait et « il a pris une décision drastique et a introduit en douce un enregistreur sur son lieu de travail, organisé des réunions avec des collègues et des patrons pendant plusieurs mois et les a enregistrées en secret ». Contrairement à Snowden, le lanceur d'alerte danois n'a pas contacté la presse, mais a finalement informé le conseil de surveillance du renseignement.

developpez.com