Un lanceur d’alerte a accusé le Pentagone d’avoir acheté un outil de surveillance de masse pour collecter les données de navigation des Américains sur le Web. Mercredi, le sénateur américain Ron Wyden a repris les allégations du lanceur d’alerte anonyme prétextant que l’armée et plusieurs services américains de renseignement ont payé un courtier en données pour avoir accès aux journaux de trafic Internet, ce qui pourrait révéler les historiques de navigation en ligne des citoyens américains. Le sénateur Ron Wyden a exhorté les inspecteurs généraux de trois départements à enquêter sur les achats de grandes quantités de données par l’armée.
L’armée américaine collecterait une grande quantité de données sur les Américains
L’armée américaine se retrouve de nouveau frappée par un scandale de surveillance de masse, après les accusations de fin 2020 selon lesquelles elle aurait acheté des données de localisation à partir d’applications ordinaires, parmi lesquelles une application de prière musulmane populaire. Cette fois, selon les allégations d’un lanceur d’alerte, rendues publiques par le sénateur démocrate Ron Wyden, au moins quatre agences du ministère de la Défense des États-Unis, dont l’armée et la marine, ont dépensé collectivement au moins 3,5 millions de dollars pour un outil de surveillance des données développé par la société de cybersécurité Team Cymru.
Team Cymru, basée en Floride, a développé Augury, un outil capable de donner accès à de vastes pans de données de courrier électronique et d’activités de navigation sur Internet. L’entreprise affirme que son produit fournit aux clients une “grande majorité de données sur toutes les activités sur Internet” et une “visibilité” sur plus de 90 % du trafic Internet. En outre, dans une plainte déposée auprès du ministère américain de la Défense (DOJ), Wyden note que le lanceur d’alerte a également évoqué l’utilisation et l’achat présumés sans mandat de ces données par le NCIS, une agence civile d’application de la loi qui fait partie de la marine américaine.
Le document révèle la vente et l’utilisation d’une capacité de surveillance jusqu’alors peu connue, alimentée par des achats de données auprès du secteur privé. L’outil de collecte de données de Team Cymru regroupe une quantité massive de données qu’elle met à la disposition des gouvernements et des sociétés en tant que service payant. Dans le secteur privé, les analystes en cybersécurité l’utiliseraient pour suivre l’activité des pirates informatiques ou attribuer des cyberattaques. Et dans le monde gouvernemental, les analystes pourraient faire de même, mais les agences qui s’occupent d’enquêtes criminelles ont également acheté cette capacité.
Les agences militaires n’ont pas décrit leurs cas d’utilisation de l’outil. Cependant, la vente de l’outil met en évidence la façon dont Team Cymru obtient ces données controversées et les vend ensuite comme une entreprise, ce qui a alarmé de multiples sources dans le secteur de la cybersécurité. Ces données permettent aux militaires de suivre l’utilisation d’Internet en utilisant une quantité incroyable d’informations sensibles. Selon les analystes, dans certains cas, l’accès à ces données requiert un mandat ou un autre mécanisme légal. Mais l’armée contourne cela simplement en achetant ces données disponibles dans le commerce auprès de sociétés privées.
« Les données du réseau comprennent des données provenant de plus de 550 points de collecte dans le monde entier, pour inclure des points de collecte en Europe, au Moyen-Orient, en Amérique du Nord/Sud, en Afrique et en Asie, et sont mises à jour avec au moins 100 milliards de nouveaux enregistrements chaque jour », peut-on lire dans une description de la plateforme Augury dans un dossier d’achat du gouvernement américain examiné. Elle ajoute qu’Augury donne accès à des “pétaoctets” de données actuelles et historiques. Le plus souvent, les ventes porteraient sur les données de localisation récoltées sur les smartphones.
Les achats d’Augury montrent que cette approche consistant à acheter l’accès aux données s’étend également aux informations plus directement liées à l’utilisation d’Internet. Selon le site Web de Team Cymru, Augury met à la disposition de ses utilisateurs un large éventail de différents types de données Internet. Ces types de données comprennent les données de capture de paquets (PCAP) liées aux protocoles de messagerie, de bureau à distance et de partage de fichiers. Les PCAP font généralement référence à une capture complète des données et englobent des informations très détaillées sur l’activité du réseau.
Les données PCAP comprennent la requête envoyée d’un serveur à un autre, ainsi que la réponse de ce serveur. « Les données PCAP sont tout. C’est tout. Il n’y a rien d’autre à capturer que l’odeur de l’électricité », a déclaré Zach Edwards, un chercheur en cybersécurité. Selon d’autres détails sur l’outil, les données d’Augury peuvent également inclure l’activité du navigateur Web, comme les URL visitées et l’utilisation des cookies qui peuvent être efficaces pour le suivi. Par exemple, Facebook et Google, deux acteurs de la publicité en ligne, utilisent les cookies pour suivre un utilisateur particulier d’un site Web à l’autre et suivre son activité.
Selon les analystes, Augury contient également des données dites “netflow”, qui donnent une image du flux et du volume du trafic sur un réseau. Il peut permettre de savoir quel serveur a communiqué avec un autre, ce qui est une information qui n’est normalement disponible que pour le propriétaire du serveur lui-même ou pour le fournisseur de services Internet qui achemine le trafic. De multiples sources dans le secteur de la cybersécurité ont déclaré que les données netflow peuvent être utiles pour identifier l’infrastructure utilisée par les pirates. Cela inclut, semble-t-il, la possibilité de suivre le trafic à travers les réseaux privés virtuels (VPN).
Team Cymru obtient ces données netflow auprès des FAI ; en retour, Team Cymru fournit aux FAI des renseignements sur les menaces. Ce transfert de données se fait probablement sans le consentement éclairé des utilisateurs des FAI. Selon une source familière avec les données netflow, “les utilisateurs ne savent certainement pas que leurs données sont fournies à Team Cymru, qui en vend ensuite l’accès”. Les analystes ont néanmoins déclaré qu’ils ne savent pas exactement où Team Cymru obtient les données PCAP et d’autres informations plus sensibles, que ce soit auprès des FAI ou par une autre méthode.
Plusieurs agences fédérales américaines seraient impliquées dans la collecte
Interrogée sur le sujet, Team Cymru a déclaré : « notre plateforme ne fournit pas d’informations sur les utilisateurs ou les abonnés, et elle ne fournit pas de résultats qui montrent un quelconque schéma de vie, ce qui empêche sa capacité à être utilisée pour cibler des individus. Notre plateforme ne capture qu’un échantillon limité des données disponibles, et est encore plus restreinte en n’autorisant que des requêtes sur des données limitées et à échantillon restreint, qui proviennent toutes de logiciels malveillants, d’activités malveillantes, de pots de miel, de scans et de tiers qui fournissent des flux de ces mêmes données ».
« Les résultats sont alors encore plus limités dans la portée et le volume de ce qui est renvoyé », a ajouté l’entreprise. Certains ont cependant utilisé les données de Team Cymru pour identifier des ordinateurs spécifiques et ensuite contacter la personne qui les utilise. En juillet 2021, des chercheurs du Citizen Lab ont publié un rapport sur le fournisseur israélien de logiciels espions Candiru. Selon le rapport, les chercheurs ont utilisé les données de Team Cymru pour identifier un ordinateur qui, selon eux, avait été infecté par le logiciel malveillant de Candiru, et qu’ils avaient ensuite contacté le propriétaire de cet ordinateur.
Wyden a écrit mercredi aux inspecteurs généraux des départements de la Défense, de la Justice et de la Sécurité intérieure, leur demandant instamment d’enquêter sur l’achat de données par leurs agences respectives, affirmant qu’il avait confirmé que “de multiples agences gouvernementales achètent des données d’Américains sans autorisation judiciaire”. Si Augury a été développé par Team Cymru, l’outil de collecte de données est distribué par le contractant Argonne Ridge Group, qui partage “la même adresse d’entreprise” que Team Cymru, avec lequel Argonne Ridge Group a également “des dirigeants d’entreprise communs”.
Wyden a déclaré que les archives montrent qu’Argonne a conclu des contrats avec l’US Cyber Command, l’armée, le FBI et les services secrets américains. Wyden a cité en outre des services tels que la Defense Intelligence Agency, la Defense Counterintelligence and Security Agency et l’US Customs and Border Protection (CBP). L’enquête de Wyden sur les achats du gouvernement se poursuit. Ces révélations ont suscité l’inquiétude des groupes de défense des droits, dont l’American Civil Liberties Union (ACLU), qui a déclaré qu’une plus grande transparence était nécessaire pour comprendre comment les agences gouvernementales utilisent ces données.
« Les enregistrements de la navigation sur le Web peuvent révéler des informations extrêmement sensibles sur qui nous sommes et ce que nous lisons en ligne. Nous devons en savoir beaucoup plus sur la façon dont les agences militaires et policières exploitent leur accès sans mandat à nos informations privées », a déclaré Patrick Toomey, directeur adjoint du projet de sécurité nationale de l’ACLU. Un porte-parole de Team Cymru a affirmé que les reportages sur ses contrats gouvernementaux sont “faux et trompeurs”, et a déclaré que les “allégations” concernant les capacités de son logiciel sont “sans fondement”.
Le porte-parole n’a pas précisé quelles étaient les allégations qu’il jugeait fausses ni fourni d’autres détails sur son produit pour corriger le tir. Cette nouvelle intervient alors que des législateurs fédéraux s’efforcent d’enquêter sur l’acquisition par le gouvernement américain de données que les agences devraient autrement obtenir par mandat. Le mois dernier, deux des principaux démocrates de la Chambre des représentants – Jerrold Nadler et Bennie Thompson – ont exigé que le FBI et le DHS divulguent les détails des achats présumés de données qui révèlent l’activité de navigation sur Internet et les emplacements précis des utilisateurs.
Alors qu’une décision de la Cour suprême des États-Unis en 2018 a estimé que le gouvernement ne peut pas acquérir des données de localisation sensibles sans un mandat, plusieurs agences gouvernementales sont accusées d’avoir choisi d’interpréter la décision de manière étroite, en exemptant les données qui – plutôt que d’être exigées – sont acquises commercialement. En d’autres termes, le gouvernement achète littéralement son chemin autour du quatrième amendement. Les agences fédérales ne sont pas les seules à agir ainsi. La police américaine et d’autres forces de l’ordre seraient également concernées.
Vendredi dernier, la représentante Anna Eshoo a demandé à la Commission fédérale du commerce (FTC) d’enquêter sur un logiciel de police récemment révélé, connu sous le nom de Fog Reveal, qui permet aux forces de l’ordre de cartographier les mouvements des Américains “des mois en arrière”. Ce service ne s’appuie pas sur des données netflow, mais sur des données de localisation extraites de centaines d’applications grand public, prétendument à des fins publicitaires.
« Les consommateurs ne réalisent pas qu’ils annulent potentiellement leurs droits au quatrième amendement lorsqu’ils téléchargent et utilisent des applications gratuites sur leurs téléphones. Il serait difficile d’imaginer que les consommateurs y consentent s’ils en avaient la possibilité, mais c’est pourtant ce qui se passe », a déclaré Eshoo.
source : developpez