Glenn Greenwald, journaliste politique, avocat et blogueur, a travaillé avec Edward Snowden sur les révélations concernant le programme de surveillance de l’Agence américaine de sécurité nationale (NSA). C’est lui qui a publié dans le journal britannique The Guardian les informations recueillies à partir des documents de Snowden. Sur son site Internet The Intercept, Greenwald donne une liste des techniques utilisées par la NSA pour surveiller les utilisateurs et se livrer à l’espionnage sur Facebook.
Lors de la série de conférences du festival South by Southwest (SXSW) donnée à Austin (Texas, USA) en 2014, Snowden a plaidé pour une utilisation du chiffrement (un service offert gratuitement par certains services de messagerie sécurisée) par tous les internautes, afin de se protéger des agences de renseignement. Cependant, Snowden a expliqué que la NSA pouvait cibler un utilisateur particulier, et dans ce cas « infiltrer son ordinateur ».
La NSA est consciente du risque qu’elle court avec ces tentatives de protection ; c’est pourquoi elle a consacré des fonds importants (l’argent des contribuables) pour tenter de mettre sur écoute à grande échelle des millions d’ordinateurs avec des logiciels malveillants. L’ampleur de cette mise sur écoute est telle, qu’elle pourrait éventuellement permettre à la NSA de « s’approprier le net », selon Zero Hedge. « Les techniques de surveillance de la NSA pourraient involontairement mettre en danger la sécurité d’Internet » a averti Mikko Hypponen, un expert en logiciels malveillants.
L’Agence a élargi ses capacités d’espionnage sur Facebook en automatisant ses systèmes et en réduisant la surveillance humaine. Dans certains cas, la NSA a utilisé un faux serveur sur le réseau social pour le détourner afin de l’utiliser comme une « rampe de lancement » lui permettant de mettre sur écoute les ordinateurs ciblés et d’extraire des informations de leur matériel. Elle a également envoyé des spams avec des « implants de logiciels malveillants » capables de pirater un ordinateur de plusieurs façons. Ces implants ont été développés dans un programme automatisé appelé Turbine, qui permet l’implantation de logiciels malveillants à grande échelle. En 2004, nous ne parlions que de 100 à 150 implants, mais leur nombre a récemment atteint des dizaines de milliers. Les rapports de Snowden indiquent qu’entre 85 000 et 100 000 implants avaient déjà été envoyés sur des ordinateurs et dans des réseaux sociaux à travers le monde en 2014. Quelque 67,6 millions de dollars ont été investis dans le développement du programme Turbine afin de lui permettre de s’étendre à « une grande variété de réseaux ».
L’implant au nom de code Unitedrake » peut être utilisé avec une variété de plugins, des modules d’extensions logicielles qui permettent un contrôle total de l’ordinateur infecté. « Captivatedaudience » enregistre les conversations à partir du microphone de l’ordinateur. « Gumfish » prend des photos à partir de la webcam. « Foggybottom » enregistre tout l’historique de la navigation et recueille des informations sur les connexions et les mots de passe. « Grok » est utilisé pour enregistrer les frappes et toutes les activités de l’utilisateur. « Salvagerabbit » vole des données grâce à des disques amovibles connectés à l’ordinateur infecté.
En outre, ces implants pourraient également permettre à la NSA de contourner les outils de chiffrement utilisés pour surfer anonymement sur le web et de chiffrer le contenu des emails. L’Agence dispose de cette faculté parce que son malware lui donne un accès illimité à l’ordinateur ciblé tant que l’utilisateur ne protège pas ses communications en les chiffrant. « Quantumsky », un malware développé en 2004, permet de bloquer l’accès de l’ordinateur à certains sites web et « Quantumcopper » testé en 2008, est utilisé pour corrompre les fichiers téléchargés de la cible.
Ces techniques d’espionnage sur Facebook et d’autres réseaux sociaux n’ont pas été utilisées uniquement pour traquer des suspects dans des affaires de terrorisme. Des logiciels malveillants ont également été utilisés contre les administrateurs de systèmes de fournisseurs de services téléphoniques et Internet afin d’accéder aux communications secrètes de l’entreprise ou de les espionner. Selon un document top secret de 2012, pour déployer ces implants, la NSA a envoyé des milliers de spams invitant les utilisateurs à cliquer sur des liens qui activent le logiciel malveillant. Une fois activé, l’ordinateur est infecté dans les 8 secondes qui suivent. La technique d’attaque de « l’homme du milieu » redirige le navigateur Internet de l’utilisateur vers les serveurs de la NSA qui tentent de mettre l’ordinateur sous écoute. La tactique de « l’attaque de canal latéral« , dont le nom de code est « Quantumhand », permet à la NSA de se déguiser en faux serveur Facebook et de transférer des données malveillantes lorsque la cible tente de se connecter au réseau social. En utilisant ce logiciel malveillant qui ressemble à une page Facebook ordinaire, la NSA peut pirater l’ordinateur de l’utilisateur, accéder aux données stockées sur le matériel, et modifier la communication. Tout cela a considérablement renforcé l’espionnage sur Facebook par le biais de tactiques aussi sophistiquées.
Les pare-feu et autres mesures de sécurité conventionnelles ne semblent pas déranger la NSA. En fait, les pirates de l’agence semblent convaincus de pouvoir contourner toutes les protections et d’infecter n’importe quel ordinateur ou réseau. « Si nous pouvons nous débrouiller pour que l’ordinateur ciblé nous rende visite dans une sorte de navigateur Web, nous pouvons probablement le contrôler », a déclaré l’un des pirates de l’agence cité dans l’un des documents secrets.
La NSA a nié avoir utilisé les réseaux sociaux pour infecter plusieurs milliers d’ordinateurs avec des logiciels malveillants. Selon l’Agence, ses capacités techniques sont utilisées pour des opérations appropriées et légitimes portant sur le renseignement étranger.