Si un document récemment divulgué s'avère vérifié, l'Agence américaine de sécurité nationale - ou son homologue britannique - semble s'être déguisée en Google pour recueillir des renseignements selon le site brésilien Fantastico qui l'aurait extrait des documents divulgués par Edward Snowden.
Voici l'une des dernières bribes du scandale de surveillance de la NSA.
Au début de cette semaine, le site Techdirt a découvert sur le site brésilien et aussi un autre article de Slate qui disaient que la NSA s'était apparemment fait passer pour Google sur au moins une occasion pour recueillir des données sur les personnes.
Fantastico a obtenu et publié un document divulgué par Edward Snowden, qui décrit à l'aide de diagrammes comment une attaque inforamtique dite "man in the middle" ("homme-du-milieu") ciblant Google a apparemment été effectuée.
Cette technique est couramment utilisée par les pirates; une attaque MITM implique l'utilisation d'un certificat de sécurité factice permettant de se présenter comme un service Web légitime, contournant les paramètres de sécurité du navigateur, puis interceptant les données qu'une personne sans méfiance envoie à ce service. Les pirates peuvent alors, se présenter comme un site Web bancaire et voler des mots de passe...
La technique est particulièrement sournoise car les pirates utilisent alors le mot de passe pour se connecter au site bancaire réel et servent alors comme un «homme au milieu», la réception des demandes du client d'une banque, pour les transmettre vers le site de la banque, puis de retourner l'information demandée au client - tout en recueillant des données pour eux-mêmes, sans que ni le client ni la banque ne réalisent ce qui se passe. Ces attaques peuvent être utilisées contre les fournisseurs d'e-mail aussi.
Source image: DansLesBois
Il n'est pas clair que l'attaque supposée dans le document de Fantastico ait été gérée par la NSA ou par son homologue britannique, le Government Communications Headquarters (GCHQ). L'article de l'agence de nouvelles brésilienne dit: «Dans ce cas, les données sont redirigées vers le centre de la NSA, puis relayé à sa destination, sans qu'aucune des parties légitimes ne s'en aperçoive."
Mike Masnick écrit sur Techdirt,
Il y a eu des rumeurs sur la NSA et d'autres utilisant ces types d'attaques MITM
Reste à confirmer qu'ils ont pu faire cela à une entreprise comme Google ...ce qui n'est pas une mince affaire - c'est quelque chose que je n'aurai jamais imaginé et qui ne ferait pas particulièrement plaisir à Google.
Google a fourni une brève déclaration au journaliste Josh Harkinson du site Mother Jones en réponse à ses questions sur le sujet:
En ce qui concerne les récents rapports laissant croire que le gouvernement américain a trouvé des moyens pour contourner les systèmes de sécurité, nous n'avons aucune preuve qu'une telle chose se produise chez nous. [Nous] Ne fournissons nos "données utilisateur" aux gouvernements que conformément à la loi.
(La société cherche également à gagner le droit de fournir une plus grande transparence en ce qui concerne les demandes du gouvernement pour les données sur les utilisateurs de Google.)
CNET a obtenu un "aucun commentaire" de la NSA en réponse à sa demande pour plus d'informations.
Comme le suggère Techdirt, une attaque MITM de la part de la NSA ou GCHQ ne serait guère une surprise totale.
Le New York Times a rapporté la semaine dernière que la NSA a éludé les méthodes de cryptage communes de plusieurs façons, y compris le piratage des serveurs d'entreprises privées pour voler des clés de chiffrement, en collaboration avec les entreprises de technologie pour construire dans des "portes arrière" (back-doors), et d'introduire clandestinement des faiblesses dans les normes de cryptage.
Il ne faudrait pas beaucoup pour obtenir un faux certificat de sécurité pour déjouer le Secure Sockets Layer (SSL) le protocole cryptographique qui est conçu pour vérifier l'authenticité des sites Web et assurer les communications sécurisées du net.
En effet, ces attaques ont déjà visé Google, notamment en 2011, quand un pirate s'est introduit dans les systèmes de DigiNotar - une société néerlandaise qui a délivré les certificats de sécurité Web - et a créé plus de 500 certificats SSL utilisés pour authentifier les sites Web.
En tout cas, la prétendue usurpation d'identité de Google par la NSA / GCHG a inspiré un graphique plutôt intelligent par Mother Jones, qui pourrait même impressionner les Doodlers plutôt habiles de Google:
