Que les administrateurs réseaux constituent une cible privilégiée pour les agents secrets de la NSA n’est pas une nouveauté. En novembre, le magazine Spiegel avait déjà dévoilé des documents d’Edward Snowden qui relatait une attaque sur les administrateurs réseaux et systèmes de Belgacom, dans le but d’accéder à certaines parties du réseau interne de l’opérateur. Le site The Intercept vient maintenant de publier d’autres documents qui donnent un éclairage plus général et particulièrement intéressant sur ce sujet.
Ainsi, au travers une série d’articles, un responsable de la NSA explique à ses collègues pourquoi et comment piéger les postes de travail des administrateurs réseaux et systèmes. Le « pourquoi » est assez facile à comprendre. La NSA ne peut pas (encore) tout surveiller. Les réseaux privés, en particulier, peuvent lui échapper. Pour pouvoir traquer une cible qui se baladerait sur un tel réseau – un « terroriste » ou un « extrémiste » par exemple – l’idéal serait d’avoir accès au poste de l’administrateur correspondant, car c’est lui « qui détient les clés du royaume ».
Une fois obtenu cet accès, il sera certainement possible de récupérer tout un tas d’informations utiles : codes d’accès, cartographie du réseau, etc. A terme, l’idéal serait d’ailleurs d’avoir, selon ce responsable, une base de données qui associe à chaque réseau une liste d’administrateurs réseaux qui permettrait d’y donner accès. Facile à dire, mais comment faire ?
Stratagèmes multiples
C’est alors que l’on découvre toute l’ingéniosité de la NSA, et sa puissance de feu. Pour accéder au poste de l’administrateur, le plus simple est d’utiliser le programme Quantum Insert. Evoqué déjà à plusieurs reprises, celui-ci permet de piéger n’importe quel ordinateur, à partir du moment où l’utilisateur se connecter sur son compte Facebook ou sur sa messagerie. Le problème : il faut connaître les comptes personnels en question pour réaliser cette opération. L’agent met au point toute une stratégie permettant de récupérer, en analysant des sessions de connexion Telnet ou SSH, les adresses IP utilisées par les administrateurs dans le cadre de leur travail. Un autre programme de surveillance permet ensuite d’associer ces adresses IP et de potentiels comptes Facebook. Et le tour est joué : il suffit ensuite d’actionner le programme Quantum Insert pour infecter l’ordinateur.
Sans trop entrer dans les détails techniques, la NSA s’appuie la faible protection du protocole Telnet pour identifier directement dans les routeurs et serveurs administrés les adresses IP utilisées par l’administrateur. Dans le cas de SSH, c’est plus compliqué, car ce protocole est chiffré. Néanmoins, en analysant simplement la taille des messages SSH qui circulent, l’agence est capable d’identifier les fameuses adresses IP qui l’intéresse. Pour ceux qui souhaitent connaître les détails techniques, il suffit de lire le document : tout est expliqué. C’est même vivement recommandé si votre job est d’administrer des réseaux et des systèmes.
Lire aussi:
TAO, l’unité d’élite de la NSA qui pénètre dans tous les systèmes, le 30/12/2013
Source:
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.