Révélations sur nos disques durs mouchards de la NSA : comment s’assurer que votre ordinateur n'est pas contaminé | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
International
Révélations sur nos disques durs mouchards de la NSA : comment s’assurer que votre ordinateur n'est pas contaminé
©Reuters

Vu de l'intérieur

Révélations sur nos disques durs mouchards de la NSA : comment s’assurer que votre ordinateur n'est pas contaminé

Kaspersky Lab, société russe spécialisée dans la sécurité des systèmes d'information, révèle l'espionnage des milliers de disques durs en Syrie, Iran, Russie, et accuse, sans le nommé, le service d'espionnage américain d'en être l'auteur. Les systèmes d'espionnage semblent toujours de plus en plus perfectionnés, et semblent chercher toujours plus d'informations.

Maxime Pinard

Maxime Pinard

Maxime Pinard est directeur de Cyberstrategia, site d'analyse stratégique portant sur les enjeux du cyberespace et de la géopolitique en général. Il est adjoint aux formations à l'IRIS, en charge de l'enseignement à distance et de la formation "Action humanitaire : enjeux stratégiques et gestion de projet".

Voir la bio »
Frédéric Mouffle

Frédéric Mouffle

Directeur général associé du groupe ASK’M / KER-MEUR. Expert en cyber sécurité. Conférencier sur les menaces émergentes, spécialisé dans la sensibilisation auprès des entreprises.

Voir la bio »
Franck DeCloquement

Franck DeCloquement

Ancien de l’Ecole de Guerre Economique (EGE), Franck DeCloquement est expert-praticien en intelligence économique et stratégique (IES), et membre du conseil scientifique de l’Institut d’Études de Géopolitique Appliquée - EGA. Il intervient comme conseil en appui aux directions d'entreprises implantées en France et à l'international, dans des environnements concurrentiels et complexes. Membre du CEPS, de la CyberTaskforce et du Cercle K2, il est aussi spécialiste des problématiques ayant trait à l'impact des nouvelles technologies et du cyber, sur les écosystèmes économique et sociaux. Mais également, sur la prégnance des conflits géoéconomiques et des ingérences extérieures déstabilisantes sur les Etats européens. Professeur à l'IRIS (l’Institut de Relations Internationales et Stratégiques), il y enseigne l'intelligence économique, les stratégies d’influence, ainsi que l'impact des ingérences malveillantes et des actions d’espionnage dans la sphère économique. Il enseigne également à l'IHEMI (L'institut des Hautes Etudes du Ministère de l'Intérieur) et à l'IHEDN (Institut des Hautes Etudes de la Défense Nationale), les actions d'influence et de contre-ingérence, les stratégies d'attaques subversives adverses contre les entreprises, au sein des prestigieux cycles de formation en Intelligence Stratégique de ces deux instituts. Il a également enseigné la Géopolitique des Médias et de l'internet à l’IFP (Institut Française de Presse) de l’université Paris 2 Panthéon-Assas, pour le Master recherche « Médias et Mondialisation ». Franck DeCloquement est le coauteur du « Petit traité d’attaques subversives contre les entreprises - Théorie et pratique de la contre ingérence économique », paru chez CHIRON. Egalement l'auteur du chapitre cinq sur « la protection de l'information en ligne » du « Manuel d'intelligence économique » paru en 2020 aux Presses Universitaires de France (PUF).

Voir la bio »

Après les révélations fracassantes d'Edward Snowden sur les précédentes campagnes américaines de collectes clandestines de renseignement électroniques, un nouveau scandale pourrait bien porter un coup fatal aux relations diplomatiques des Etats-Unis avec le reste du monde…

Kaspersky Lab, le fournisseur d'antivirus basé à Moscou, révèle ainsi que des services d'espionnage seraient parvenus à intégrer des logiciels espions au cœur même des disques durs produits par Toshiba, Seagate, Western Digital et bien d’autres fabricants. Tous les soupçons se portent sur la NSA (la célèbre "National Security Agency" américaine), bien qu'officiellement Kaspersky Lab se refuse à la nommer. Ces nouvelles révélations si elles étaient confirmées, montrent une nouvelle fois l'ampleur et la puissance du dispositif d'espionnage de la NSA ; mais aussi et peut être ; la complaisance dont feraient preuve certaines firmes, dans la fourniture des moyens technologiques offensifs au bénéfice de l'agence d'espionnage. Ceci lui octroyant de facto la capacité d’étendre sa supériorité en matière d’interceptions et d’extractions de données sensibles. A moins qu’elles ne soient des victimes collatérales de ces infections virales ?

Atlantico : Comment peut-on infecter le disque dur d'un ordinateur ? Est-ce que ce dispositif  espion est « physique », ou s’agit-il d’un dispositif d’encodage spécifique ayant « infecté » directement tous ces ordinateurs au cœur ?  Peut-on parler d’un dispositif  d’espionnage en série ?

Franck Decloquement : Dans le cas qui nous intéresse, l’agence nationale de sécurité américaine (NSA) aurait compris comment cacher des logiciels d’espionnage au plus profond des disques durs vendus par plus d'une douzaine de sociétés, comprenant l'ensemble des acteurs du marché : Western Digital Corp, Seagate Technology Plc, Toshiba Corp, IBM, Micron Technology Inc et Samsung Electronics Co Ltd. Western Digital, Seagate et Micron ont déclarés qu'ils n’avaient pas connaissance de ces programmes d'espionnage. Toshiba, IBM et Samsung se sont refusés à tous commentaires.

Ces disques durs ont peut-être été « infectés » par un dispositif technologique spécifique afin d’aménager une « backdoor » (littéralement : une « porte arrière dérobée » en anglais). Ces données peuvent être ensuite extraites à la demande, et rapatriées pour être analysées par les services concernés afin d’être partagées et exploitées au bénéfice des intérêts stratégiques des Etats-Unis.

Kaspersky a publié les détails techniques de ses recherches, ce qui devrait aussi aider les établissements infectés à détecter les programmes d'espionnage malveillants, dont certaines traces remontent au début des années 2000. Si cela était confirmé, il pourrait en effet s’agir d’un dispositif d’espionnage à très grande échelle, compte-tenu de l’étendue des aires géographiques qui ont été ciblées prioritairement par un ou plusieurs programmes d’espionnage insidieux inclus dans des disques durs corrompus (la Russie, le Pakistan, l’Afghanistan, la Chine, le Mali, la Syrie, le Yémen et l’Algérie). Et ceci, sur des ordinateurs personnels ciblant des institutions gouvernementales et militaires, des entreprises de télécommunications, des banques, des sociétés d'énergie, des chercheurs nucléaires, des médias et des militants islamiques…

Maxime Pinard : Rappelons déjà que ce scandale, bien que réel, n’est en rien nouveau. Il y a eu plusieurs affaires ces dernières années de matériel informatique (des routeurs principalement) infectés lors de leur sortie d’usine, avec la mise en place de backdoors (portes dérobées) permettant au commanditaire de l’opération d’avoir un contrôle caché du matériel. Dans le cas présent, il semble que les logiciels espions aient été intégrés dans le firmware (ou micrologiciel), c’est-à-dire dans la mémoire du disque dur permettant à celui-ci d’être mis à jour, d’exécuter des commandes basiques pour échanger avec l’ordinateur sur lequel il est installé. Tous les composants informatiques (de la carte mère en passant par la carte graphique) comprennent un firmware qui fait l’objet de mises à jour pour corriger des failles ou apporter des améliorations. L’implantation d’un code malveillant requiert des compétences pointues, réservées à un milieu assez fermé, mais l’exercice est clairement facilité s’il se fait avant même l’installation du disque dur dans un ordinateur.

On peut toujours détecter une altération des fonctions du firmware, mais cela demande des logiciels spécifiques que la plupart des utilisateurs d’ordinateurs n’utilisent pas, voire ne connaissent pas. On peut employer l’expression « espionnage de série », même s’il faut voir la limite d’une telle démarche : bien que ces logiciels espions semblent avoir été introduits dans des disques durs vendus sur des marchés ciblés, il y a clairement le risque que l’opération manque sa cible, le disque dur pouvant être au final pour un autre destinataire que celui envisagé. Cela participe à la stratégie (américaine surtout) de collecter le plus possible, puis de faire le tri, prenant le risque d’être noyé sous l’information et de manquer l’essentiel. 

On comprend que la NSA serait responsable de cette « contamination », alors que la élèbre agence américaine ainsi que les principaux fournisseurs de disques durs se refusent à tout commentaire...

Franck Decloquement : On pourrait en effet augurer de la provenance de ces virus. Cependant, Kaspersky refuse de désigner publiquement le pays incriminé derrière la campagne d'espionnage. Déclarant simplement qu'il était étroitement lié à Stuxnet… Autrement dit le « cyberweapon NSA-conduit » qui avait été précédemment utilisé pour attaquer notamment l'usine iranienne d'enrichissement d'uranium. On pourrait toutefois ajouter que la NSA est l'organisme responsable de la collecte du renseignement électronique, pour le compte des États-Unis. A l’heure ou nous rédigeons ces lignes, le Porte-parole de la NSA, Vanee Vines, s’est refusé jusqu’à lors à tout commentaire.

Maxime Pinard : En réalité, si l’on se base entre autres sur les informations de du journaliste Shane Harris (livre : @War : The Rise of the Military-Internet Complex), il ne s’agit pas de pression financière ou d’embargo, mais davantage d’un partenariat discret. La NSA met ainsi au service des entreprises sa connaissance des menaces qui pèsent sur elles, en échange de quoi elle demande à inspecter les produits (connaissance des schémas, des différentes étapes de conception), voire demande à y insérer des backdoors. Cela a été le cas par exemple avec la société Cisco qui fournit des routeurs dans le monde entier, créant des failles de sécurité (et par conséquence facilitant l’espionnage) chez tous les utilisateurs qu’ils s’agissent d’individus, de sociétés, d’administrations…

Quels sont les moyens dont disposerait la NSA pour intégrer ses logiciels espions directement chez le producteur ?

Franck Decloquement : On peut en imaginer plusieurs. Dans le cas présent et très schématiquement, il ne s’agirait pas d’un dispositif « physique » au sens strict qui serait « monté en série » dans le hardware de chaque machine infectée. Selon les analystes de Kaspersky, les ingénieurs qui sont parvenus à ce résultat étonnant, ont sans aucun doute fait une percée technologique significative pour déterminer comment porter un logiciel malveillant dans le code obscur appelé aussi « firmware », qui lance un ordinateur à chaque fois que celui-ci s’initialise. Les auteurs de ces programmes d'espionnage insidieux ont vraisemblablement dû avoir accès au « code source  propriétaire » qui dirige les actions des disques durs de plusieurs grandes sociétés américaines de haute technologie et de la défense.  Ce code a ensuite du servir de « feuille de route » pour analyser les vulnérabilités inhérentes au dispositif, permettant à ceux qui les ont étudié dans le détail de diligenter ensuite des attaques beaucoup plus facilement.

Selon certains spécialistes et dans le cadre de cette hypothèse, la NSA aurait eu plusieurs façons d'obtenir le « code source » des sociétés de technologie concernées par ces actions malveillantes, y compris en se présentant le plus simplement du monde comme un développeur de logiciels lambda. Si une entreprise veut vendre des produits au Pentagone ou auprès d’une autre agence américaine « sensible », le gouvernement peut alors demander un audit de sécurité, en prétextant la vérification du « code source » afin de s’assurer que celui-ci est sûr…

Dans le cas contraire, il est évident que pour que la NSA puisse inclure des dispositifs technologiques espions de la sorte, sur des lots entiers de disques durs - et ceci de manière « physique » - il serait nécessaire de passer avec les fabricants de disques durs incriminés des accords secrets… Pour ce faire, on pourrait imaginer qu’il existe une connivence « naturelle » entre certaines firmes productrices de matériels informatiques et l’agence américaine de sécurité. Mais ceci ne semble pas être le cas dans cette affaire. Aux Etats-Unis, des partenariats entre les entreprises privées et les institutions en charge de la sécurité nationale existent bel et bien. Une certaine porosité est de mise, ceci n’est pas nouveau. De toute évidence, les grandes firmes américaines entretiennent des liens ténus avec les autorités de leur pays et leurs services de renseignement, et s’impliquent autant que possible dans la protection des intérêts stratégiques des Etats-Unis. Plutôt que de « pressions », on parlera d'une tendance « naturelle à l'entente », qui a - il faut bien le préciser - toujours existé… C’est aussi une question de culture stratégique.

Quelles sont les données collectées, et qui les récoltent ?

Franck Decloquement : Dans le cadre de ce dispositif d'espionnage à très grande échelle, le spectre des données récoltées est très large, et passe donc par des systèmes de traitement de l'information automatisés qui fonctionnent par objectifs et mots clefs. Ils peuvent rechercher des estimations chiffrées inclus dans des dossiers systèmes de la cible, ou altérer des données essentielles, ou encore suivre des négociations commerciales ou diplomatiques entre deux interlocuteurs précis... Tout est affaire de priorité. L’ensemble des données sont susceptibles d'être raffinées puis exploitées selon un angle de recherche très précis. Dans tous les cas de figures, l'objectif prioritaire recherché à travers la mise en place d’actions espionnage ciblées est toujours le même : accéder prioritairement aux données stratégiques protégées de l’adversaire, de manière clandestine.

Ces opérations visent à obtenir un avantage stratégique ou concurrentiel immédiat et déterminant. Elles permettent en outre de récupérer des renseignements ou des données qui seraient par exemple occultées par l'interlocuteur, afin de pouvoir se rendre maître des échanges, en s’octroyant toujours une longueur d'avance. Il s’agit d’une technique très classique de l'espionnage.  Ce qui est nouveau dans le cas présent,  c'est l’ingéniosité du dispositif technologique mis en œuvre et "l'empiègeage" utilisé pour atteindre certaines cibles prioritaires. Toutes les opérations d’espionnage fonctionnent sur le même principe de base : l’usage de la mystification et de la ruse pour parvenir à ses fins. Et dans ce registre, tous les moyens sont bons.

Maxime Pinard :
Le champ des données collectées est extrêmement vaste, voire quasi infini, tout dépend du logiciel espion utilisé. Cela va d’informations techniques sur l’ordinateur (quels logiciels installés, sa localisation) à des informations sur le contenu produit / consulté sur la machine : mails, photos, mots de passe, etc… Des copies d’écran peuvent ainsi être réalisées puis envoyées sur des serveurs anonymes, le tout sans que l’utilisateur de l’ordinateur ne se rende compte, la force de ces logiciels espions étant de passer inaperçus et surtout de déjouer les pare-feux des ordinateurs qui contrôlent les connexions entrantes, mais également sortantes. Ces données permettent à ceux qui les exploitent de retracer toute l’activité de l’utilisateur, de connaître à la fois sa vie professionnelle et sa vie privée, afin de faire pression sur lui, « voire de le retourner » dans des affaires d’espionnage. 

Est-ce que tous les ordinateurs sont susceptibles d'être espionnés ?

Franck Decloquement : Oui, tout système électronique, est susceptible d'être espionné, tracé, récupéré. Même les réseaux fermés peuvent faire l'objet d'une attaque par la captation des rayonnements rémanents de l’installation. Même lorsque l'on travaille sur des systèmes codés, des clés USB protégées, il n’existe aucune parade définitive tant les choses évoluent vite en matière technologique. Lors d’un déplacement à l’étranger, notamment dans les zones sensibles, il est toujours possible de voir son matériel disparaître ou se faire « contaminer » à l’occasion d’une connexion non protégée. Une fois que le matériel a été corrompu et les données sensibles extraites, il est souvent trop tard. Les conséquences et les dégâts occasionnés sont souvent inestimables.

L’usage d’un matériel informatique offre l'extraordinaire avantage de pouvoir mettre immédiatement des personnes en relation, et ceci sur de grandes distances. Mais cette mise en relation instantanée par le biais des réseaux interconnectés, génère également d’énormes vulnérabilités.

Maxime Pinard : Oui clairement ! Aucun ordinateur aujourd’hui n’est à l’abri d’être espionné. A partir du moment où l’on ne contrôle pas soi-même l’intégralité du processus d’élaboration de son ordinateur (ce qui est quasiment impossible), il y a le risque d’avoir des failles exploitables par un tiers. Après, avec des logiciels de sécurité informatique (antivirus, pare-feux, logiciel pour crypter ses fichiers), vous pouvez compliquer la tâche de ceux qui espionnent, mais vous ne ferez que les ralentir. 

Quels sont les parades pour se prémunir contre les actions d’espionnage ?

Franck Decloquement : Il serait trop long ici de toutes les énumérerMais en réalité, seuls les moyens d'échanges humains et « non technologiques, par un recourt raisonné aux « échanges directs » en quelque sorte, offrent un maximum de protection quand ceux-ci sont bien maîtrisés. Dans certaines conditions, les moyens les plus rustiques offrent très souvent de bons compromis dans notre monde hyper connecté. Mais ceci est une autre histoire.

Frédéric Mouffle: Il y a deux types d'espionnage ou d'attaque potentielle, selon la qualité de l'individu ciblé. Lorsque l'on est une personne "lambda", il est important de protéger certaines données essentielles telles que les informations liées à son identité, ses données bancaires, ses photos et vidéos personnelles, les coordonnées de son employeur, etc. Dans l’absolue il est recommandé de crypter intégralement ses données propre, et ceci depuis une autre machine "saine". Il faut également vérifier que chaque connexion vers l’extérieur est protégée voir même chiffré. Il est préférable d'opter pour une connexion 4G, plutôt que pour une connexion gratuite proposée  dans certains espaces publics ou privatifs. L’utilisation d’un VPN permet ainsi de réduire de manière sensible le risque encouru.

Quant on est possiblement une personne exposée, ou en capacité "d’intéresser" une entreprise concurrente agressive - voir même un service gouvernemental adverse - certaines mesures plus ou moins complexes sont à mettre en pratique. Tous les moyens utiles et efficaces seront déployés par l’attaquant pour parvenir à ses fins. Le but final recherché étant de le mettre en échec ou de le ralentir suffisamment pour échapper à son emprise. Par exemple, une donnée avec un chiffrement fort, demandera à l’attaquant qui aura pu s'emparer de ce fichier, d’énormes moyens d'action pour décrypter (plusieurs mois, voir plusieurs années. Et ceci, en fonction du type de cryptage). Et quand celui-ci aura enfin accès à l’information convoitée, celle-ci sera peut-être devenue obsolète...

Le chiffrement systématique de toutes ses données sensibles, est la première chose à prendre en considération. Le deuxième point noir reste le types de liaisons de communications employées (wifi, Bluetooth, etc.) qui peuvent comporter certaines vulnérabilités exploitable. Il faut donc être très vigilant, et préférer l'usage de la 4G au wifi quand cela est possible...
Quels sont les moyens techniques possibles à mettre en place, pour se protéger contre l'intrusion de virus ou de logiciels espions malveillants ?
Le comportement de l’utilisateur est crucial dans la mise en place des « best practices » disponibles. Par exemple, il est possible de parfaitement s’informer à ce sujet sur le site de l’ANSSI ( L'Agence Nationale de Sécurité des Systèmes d'Information ) =>  http://www.ssi.gouv.fr/fr/guides-et-bonnes-pratiques/.
Pour la téléphonie mobile qui est un vecteur très important de "captations frauduleuses d’informations", plusieurs moyens existent pour se protéger au plus près. Et ceci avec un bon niveau de protection.
- Le cryptage des données : Chez Apple et Samsung, des outils de cryptage des téléphones existent et sont inclus dans les Systèmes d’exploitation des téléphones (Android / IOS).
- L’utilisation d’un VPN : Ceci est également possible sur un Smartphone. L’utilisation d’un VPM permet le transfert de votre flux internet - via un tunnel crypté. Et si un attaquant capte vos données émises en Wifi, il ne pourra rien extraire en retour, car les données ainsi captées seront parfaitement illisibles.
- Connexion 4G / WIFI : Ce type de connexion est à privilégier a la connexion wifi, car elle a aussi l’avantage d’être plus difficilement "captable". Les outils pour intercepter ce types de signaux sont assez onéreux, rares et nécessitent de sérieuses compétences pour les utiliser. Le wifi quant à lui, surtout quand il est gratuit est un facteur de risque important, car derrière le "hot spot" anodin et gratuit peut se cacher un attaquant motivé qui enregistre tout le "flux réseau" qui transitera entre le routeur et votre mobile /ordinateur. Il est alors aisé d'en extraire certains "login" et "mot de passe".
- SMS / MMS : Nous avons tous déjà reçu des SMS et des MMS contenant des liens sur lesquelles on nous demande de "cliquer", encore une fois : il s'agit en réalité d'une "porte d’entrée dérobée".
- ANTIVIRUS : L’utilisation d’un antivirus sur nos Smartphones est parfaitement nécessaire, car ils peuvent détecter un certain nombre de menaces. Ils sont relativement efficaces.
Ce qui est valable pour la téléphonie mobile l’est aussi pour les ordinateurs fixes et les ordinateurs portables. A quelques exceptions cependant. Les principaux vecteurs d’infections sont les clients mail, les téléchargements illégaux ou certains sites de "streaming" (sites de diffusions gratuites de film sur le web), l’échange et le partage de fichier entre personnes.

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !