1 1 1 1 1 Rating 5.00 (1 Vote)

Le Government Communications Headquarters (GCHQ, littéralement « quartier-général des communications du gouvernement ») est le service de renseignements électronique du gouvernement britannique.

Source : Fr.wikipedia.org

NSA GCHQ 06 08 2014

Ne trouvant aucune base de données des différents programmes provenant des fuites de Snowden, nous avons travaillé à la création d'une base de données concernant la NSA et le GCHQ. L'article qui suit est une synthèse d'une partie de nos travaux.


Une dystopie, également appelée contre-utopie, est un récit de fiction dépeignant une société imaginaire organisée de telle façon qu'elle empêche ses membres d'atteindre le bonheur. Une dystopie peut également être considérée comme une utopie qui vire au cauchemar et conduit donc à une contre-utopie. Wikipedia - Dystopie

Nous allons parler dans cet article du JTRIG (pour Joint Threat Research Intelligence Group), qui est l'équivalent pour le GCHQ (les services de renseignements anglais) du département TAO de la NSA. La mission du JTRIG consiste entre autre à détruire ou à empêcher d'agir les ennemis en les discréditant via de fausses informations ou en empêchant leurs communications de fonctionner : Déni de Service (DoS) via appels ou sms, suppression de la présence en ligne d'une cible, changement de photos sur les réseaux sociaux (pour discréditer une cible ou augmenter drastiquement sa parano), captation des mails (par exemple pour apporter de la crédibilité lors de l'infiltration d'un groupe)... la liste est longue.

Snowden Jtrig Slide
Le GCHQ possède un rayon d'action étendu, portant d'une cible individuelle à l'échelle d'un pays

GCHQ vs Anonymous

Dans un article du 5 Février 2014, Mark Schone (NBC News) racontait comment le JTRIG lançait des DDoS contre les anonymous avec le programme ROLLING THUNDER (DDoS via P2P/syn flood selon le journal).

Le GCHQ était aussi présent sur des chans IRC Anons, ce qui leur a permis d'arrêter quelques personnes : Edward Pearson a.k.a GZero. Jake "Topiary" Davis (porte-parole du groupe Lulzsec), Mustafa “Tflow" Al-Bassam, aussi du groupe Lulzsec, ainsi que quelques autres.

GZero a sans aucun doute cherché les emmerdes : vol de comptes paypal, utilisation de CB volées, discussion en ligne avec un agent se faisant passer pour un Anon à propos d'attaque..., le blog garwarner.blogspot.fr raconte des choses très intéressantes : son compte SoundCloud aurait eu comme Userid GZero et comme nom "Edward Pearson". Selon la slide 7 de ce document, un whois sur un de ses liens échangés sur IRC aurait rapporté des informations... même pas sûr que le GCHQ ait eu à utiliser le programme PHOTON TORPEDO qui permet de récupérer l'adresse IP d'un utilisateur de MSN : oui... il avait aussi son adresse en clair sur un site, lié à son pseudo...

Un autre anon, p0ke, a cliqué sur un lien menant vers l'article de la BBC “Who loves the hacktivists" qu'un agent lui a envoyé. Je pense que vous devinez ce qui s'est passé, le GCHQ a été capable de récupérer l'adresse IP qu'il avait derrière son VPN.

Ça marche avec des liens (rappelez vous de QUANTUM et de FOXACID), mais ça marche aussi très bien avec des pièces jointes, comme avec un document Office : TRACER FIRE permet de récupérer des infos sur la machine ciblée, comme des fichiers ou des logs), TORNADO ALLEY fait plus ou moins la même chose sous la forme d'un document excel. Ou encore GURKHAS SWORD qui permet de faire remonter l'adresse IP de la cible. Le lien sur lequel il a cliqué était sans doute piégé, mais il existe une autre hypothèse : une surveillance passive des connexions à l'article via TEMPORA et ANTICRISIS GIRL (ce qui est existe) et qui aurait pu permettre par ricochet de remonter à sa navigation, comme son compte Facebook, et ses adresses mails.

Pour la petite histoire, les Gurkhas sont des soldats/mercenaires népalais que l'on trouve dans l'armée Britannique depuis ~200 ans, ils sont entre autres réputés pour leurs poignards, les Khukuri, ou kukri).

Ça aurait aussi pu venir de l'utilisation d'un programme comme GLASS BACK (permet de récupérer l'adresse IP d'une cible en la spammant), ou tout simplement une requête en bonne et due forme au fournisseur du VPN en question (on en oublierait presque les bonnes vieilles méthodes).

Que font les terroristes déjà ? Des DDoS ?

Il est toujours agréable d'apprendre que le GCHQ sait très, très bien utiliser le déni de service sous toutes ses formes : DoS sur des serveurs web (PREDATORS FACE), sur les téléphone via call bombing (SCARLET EMPEROR), contre SSH (SILENT MOVIE) ou encore de manière silencieuse sur les téléphones satellites / GSM avec VIPERS TONGUE (par silencieux, on entend que la cible ne voit rien du DoS ; les messages n'arrivent pas réellement sur le périphérique mais bloquent les communications).

AMBASSADORS RECEPTION a été utilisé dans différentes situations : quand il est utilisé sur une machine cible, il se chiffre lui-même, efface tous les emails, chiffre tous les fichiers, fait trembler l'écran et empêche l'utilisateur de s'identifier. STEALTH MOOSE cible spécifiquement les machines Windows.

Une autre opération visant spécifiquement les Talibans en Afghanistan a consisté en une tempête de fax, d'appels et de SMS programmée pour arriver toutes les minutes sur les terminaux cibles.

CANNONBALL permet de spammer via SMS une cible, BURLESQUE permet d'envoyer des SMS modifiés et CONCRETE DONKEY permet l'envoi d'un message audio à de nombreux téléphones ou de "spammer" une cible avec le même message (on notera la référence à Worms Armageddon <3).

Spam

Et le GCHQ n'hésite pas à envoyer via les réseaux sociaux (Facebook, Twitter, Skype) le message "DDOS and hacking is illegal, please cease and desist" pour "dissuader" des activistes de participer à des DDoS. Une des slides indique que 80% des personnes à qui avait été envoyé le message n'étaient plus sur les chans IRC un mois après.

On parle ici de programme comme BADGER ou WARPATH qui permettent d'envoyer massivement (qui a dit spammer ?) du mail.

Pour information, MINIATURE HERO vise spécifiquement le logiciel Skype et permet de collecter et d'enregistrer des conversations (aussi bien skypeOut que en skype to skype), les messageries instantanées et les listes de contacts.

Honey traps

ROYAL CONCIERGE exploite les réservations d'hôtels pour tracker les diplomates étrangers (et sans doute pas que les diplomates). Le GCHQ utilise ce programme pour essayer de mener les cibles vers des hôtels "SIGINT friendly" : plus facilement espionnables, aussi bien électroniquement que humainement.

La mise en place de honey traps fait aussi partie du catalogue du JTRIG, et il arrive qu'une opération soit mise en place pour leurrer une cible en lui faisant miroiter une possibilité de relation amoureuse et/ou sexuelle et ainsi l'amener à faire quelque chose (le BA.B.A des services de renseignements quoi...). C'est typiquement ce qui s'est passé en 1986 avec Mordechai Vanunu et l'agente du Mossad (les services de renseignements israéliens) Cheryl Bentov.

Réseaux sociaux

La propagande est à la Démocratie ce que la violence est aux dictatures. Noam Chomsky

Et ça le GCHQ l'a trop bien compris, ils peuvent accroître artificiellement le trafic d'un site (GATEWAY), amplifier un message (= augmenter le nombre de vues et donc le référencement), comme une vidéo sur Youtube (GESTATOR), ou encore modifier un mur facebook aussi bien pour une seule personne que pour un pays entier (CLEANSWEEP).

Ils ont aussi bien la possibilité de modifier les photos d'utilisateurs sur les réseaux sociaux que d'envoyer des mails ou des sms à vos collègues ou à vos voisins à votre place, il est indiqué dans les leaks que ce type de méthode a aidé la police Britannique à "arrêter des criminels".

Donc, maintenant, si (par exemple) vous trompez votre conjoint-e et arrive le moment ou vous vous trompez de destinataire lors de l'envoi d'un message, vous avez maintenant l'excuse "c'est une opération des services de renseignements anglais pour me discréditer !". Pas mal non ?

Quelques programmes bonus

Jtrig D3js

  • BABYLON permet de faire une requête sur une adresse mail Yahoo ou Hotmail (à la date du document) pour savoir quand elle est utilisée ou non ce qui permet de savoir quand s'y connecter.
  • DANCING BEAR permet d'obtenir la localisation d'un point d'accès wifi.
  • HACIENDA permet de scanner une ville ou un pays entier
  • SWAMP DONKEY localise des types de fichiers prédéfinis et les chiffre.
  • DEEPSTALKER aide à la géolocalisation des téléphones satellites et des GSM en faisant un "appel silencieux" (invisible pour la cible).
  • SQUEAKY DOLPHIN permet une supervision en temps-réel des vues sur Youtube, des Likes, sur Facebook ou encore des visites sur Blogspot/Blogger. Ce qui permet de récupérer des informations pertinentes sur des tendances (slide 29 à 32), et donc potentiellement "prévoir" des événements (l'exemple dans les slides concerne les tags "14FEB", "Bahrain" et "March rally" le 13 février 2012, c'est à dire la veille du premier anniversaire du "day of rage" au Bahrein).

Pour finir

"Nul ne sera l'objet d'immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d'atteintes à son honneur et à sa réputation. Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes." Article 12 de la Déclaration universelle des droits de l'homme

Que pouvons-nous faire ? La réponse est simple à écrire, mais plus difficile à mettre en œuvre, il faut commencer par faire son modèle de menace, après ça, vous avez le choix : chiffrer, tout, tout le temps. Utiliser Tor, dont les hidden services le plus souvent possible. Mettre en place des machines virtuelles dédiées (par exemple KVM ou virtualbox --adminsys : SSH over Tor seulement par exemple, Navigation web), utiliser des logiciels libres (vous méritez de vous faire prendre sinon ;-)), SSL/TLS par défaut pour TOUT, OTR sur les messageries, ouvrir les liens que quelqu'un vous donne sur une machine distante (sans lien avec vous) ou sur une VM... etc.

Et évidemment, ne pas faire de conneries : toute la crypto du monde ne vous protégera jamais si vous faites des erreurs bêtes, comme permettre des passerelles entre votre pseudo et votre nom (comme une adresse email). Le fondateur de SilkRoard, William Ulbricht (aka Dread Pirate Robert's) peut en témoigner.

Quelques liens

Documents :

Articles :

 

Source : Libwalk.so

Information complémentaire :

Crashdebug.fr : La vidéosurveillance vous fait flipper ? Attendez de voir ce qu’on vous prépare

 

Vous êtes ici : Accueil Arrow Informatique Arrow Sécurité Arrow GCHQ - partie 1 : JTRIG