XKEYSCORE : pleins feux sur le « Google de la NSA »
Outil de surveillance majeur dans l’arsenal de la NSA, XKEYSCORE fait l’objet de nouvelles révélations. Comment fonctionne-t-il et dans quelle optique ?
Le Guardian en avait parlé pour la première fois à l’été 2013 en le présentant comme l’un des outils de surveillance massive les plus puissants dans l’arsenal des services du renseignement américain : deux ans plus tard, XKEYSCORE fait l’objet de nouvelles révélations, à l’appui d’une cinquantaine de documents communiqués par le lanceur d’alertes Edward Snowden.
Décrit par The Intercept comme « le Google de la NSA », ce dispositif permet d’intercepter, sans discernement, des données en flux constant circulant sur les liens optiques qui forment les principales dorsales du réseau mondial. Recherches Internet, e-mails, images, appels voix, identifiants et mots de passe, sessions Skype, frappe clavier… Tout y passe.
XKEYSCORE est fondé sur une architecture distribuée qui lui permet de s’adapter au volume de données à traiter. En 2008, il était lié à environ 700 serveurs répartis sur 150 sites couvrant les cinq continents. Le capacité de stockage était de 3 à 5 jours pour des données… et de 30 à 45 jours pour des métadonnées. On peut supposer qu’elle a augmenté par la suite.
Il semble que le système ait collecté partout, y compris sur le territoire américain, au mépris des lois nationales. Bien que les consultants de la NSA soient en théorie formés pour ne pas lancer de recherches susceptibles de faire remonter des informations sur des citoyens américains (ce dont doutent les défenseurs de la vie privée), plusieurs mandats du tribunal secret FISC suggèrent que la collecte a été explicitement autorisée sur plusieurs forums U.S.
Au-delà du trafic Web, la voix sur IP a également été interceptée, puis transférée vers la base dédiée Nucleon, qui regroupe aussi des fax et des contenus vidéos (75 000 serveurs et 700 000 fichiers absorbés par jour).
Mais aussi…
Utilisé en début d’année lors du hack de Gemalto (fabricant de cartes SIM), XKEYSCORE a été ouvert aux pays alliés des États-Unis. Illustration avec la Nouvelle-Zélande, qui s’en est servi pour espionner le gouvernement des îles Salomon.
Mais que peut-on demander à XKEYSCORE ? De cibler des personnes selon leur localisation, leur navigation ou encore leur navigation Web. Il est par exemple fait état, dans un rapport de mission, d’individus au Pakistan visitant certains forums en langue allemande.
Pour associer précisément les données aux utilisateurs, la NSA s’appuie sur les cookies enregistrés par les sites Web. Sur les applications mobiles, elle exploite les services d’analytique qui traquent les visiteurs uniques, essentiellement à des fins de publicité ciblée.
L’Agence américaine de sécurité nationale assure qu’un tel dispositif est nécessaire dans la lutte antiterroriste. XKEYSCORE a d’ailleurs souvent été utilisé pour surveiller des organisations terroristes au Moyen-Orient. Mais il a aussi servi à l’administration Obama en 2013 pour préparer une réunion avec le Secrétaire général de l’ONU Ban Ki-moon sur la Syrie, la Corée du Nord et le changement climatique.
XKEYSCORE a aussi servi de vecteur de piratage, tout particulièrement dans les années 2000, quand le chiffrement était moins répandu qu’aujourd’hui. Selon les experts de Toucan Systems (firme spécialisée dans la sécurité IT), les consultants NSA « n’avaient qu’à taper le nom d’un serveur à hacker […] et ils obtenaient […], en quelques minutes, voire quelques secondes […], l’identifiant et le mot de passe administrateur ».
Une technique très employée pour repérer les forums sur lesquels s’échangent des logiciels malveillants, pour préparer des attaques en détectant des vulnérabilités sur des systèmes informatiques, mais aussi pour espionner les agences de renseignement de pays ennemis.
Crédit photo : phil Holmes – Shutterstock.com