Cette semaine a été riche en révélations. Après avoir révélé, que la NSA intercepte les colis de matériel informatique (routeurs, commutateurs, firewalls, serveurs, disque dur, IPhone, etc) pour y insérer des mouchards persistant. Le Spiegel nous apprend que la NSA a utilisé son système dénommé "Quantum Insert", pour accéder a un serveur du consortium qui est propriétaire (dont Orange, Verizon, etc) du câble sous marin SEA-ME-WE 4 qui relie Europe-Moyen Orient-Asie-Océanie.

Le système "Quantum Insert", utilise une technique appelé Man-on-Side (en fait un Man in the Middle qui ne dit pas son nom) pour injecter du code dans les machines de ses cibles ayant une vulnérabilité (failles 0 day ou non). Orange fait la vierge effarouchée et va porter plainte. Un diagramme détaillé du fonctionnement du système a été publiée par le Spiegel ici.

Leur système utilise des sondes qui analyse le trafic. Lorsqu'une requête provenant d'une cible vulnérable est détectée, le système va renvoyer une réponse avant le serveur a qui était destiné la requête. Cette réponse contient ou renvois vers le code malveillant tout en veillant a ce que la requête initiale s’exécute correctement.

C'est le terme employé par la NSA dans son slide.

Par contre je m'interroge sur les techniques qu'ils utilisent pour arriver à répondre avant le serveur légitime. Dans certains cas par exemple quand le serveur est au États Unis ou qu'il est tres lent a envoyer la reponse cela ne doit pas leurs poser de problème. Par contre quand le serveur et le client sont à l'etranger, ils ne peuvent pas s'affrenchir des lois de la physique. ils ont forcèment des équipements répartis aux quatre coins du monde pour forger les paquets spoofés.

man in the middle: l'attaquant reçoit les packets et les retransmet (sans nécessairement les modifier) à qui il faut, parfois il décide de répondre à la place d'un serveur et/ou de ne pas retransmettre à ceux-ci
man on the side: l'attaquant écoute les paquets sur la ligne sans nécessairement les intercepter (le destinataire, sur le schéma le routeur, ne change pas), normalement on le dessine directement au niveau des liens (victime-routeur, victime-serveur, routeur-serveur...), pas du routeur comme sur leur schéma
l'avantage, c'est qu'en mode "sonde", l'attaquant est invisible, tant qu'il n'injecte rien
d'ailleurs dans leur schéma, il n'injecte jamais, il y a un lien que j'appellerais lien magique entre FOXACID et la victime pour cela

le lien magique c'est ce qui apparemment leurs permet de gagner la race condition à coup sur
c'est d'ailleurs probablement de là que viendrait le nom (QUANTUM, dans le sens la plus petite unité de temps)

je pense qu'il n'y a pas de duplication de packet, quand le SSO voit un packet qui l'intéresse, il l'envoi à la NSA/FOXACID qui est en contact direct avec le serveur de YAHOO et lui donne une url à injecter, et c'est en fait yahoo qui répond bien à la victime de façon très bien authentifié avec une page valable
la victime se laisserai ensuite infecté avec l'exploit du choix de FOXACID avec l'url qui peut-être utilise un certificat yahoo puisqu'on est pas à ça prêt
pas besoin de lien magique ou de téléportation de données

J'ai quand même de gros doutes; l'explication ne semble pas correcte. La NSA a peut être accès à plein de choses, mais celui a fait ces slides n'a peut être pas tout compris correctement.

c'est récurent avec tout ces leak, on apprend plein de chose mais c'est à chaque fois ou très souvent du point de vue des opérateurs (ce sont des guides d'utilisations qu'on nous montre) techniquement j'en reste à chaque fois sur ma faim

man in the middle: l'attaquant reçoit les packets et les retransmet (sans nécessairement les modifier) à qui il faut, parfois il décide de répondre à la place d'un serveur et/ou de ne pas retransmettre à ceux-ci
man on the side: l'attaquant écoute les paquets sur la ligne sans nécessairement les intercepter (le destinataire, sur le schéma le routeur, ne change pas), normalement on le dessine directement au niveau des liens (victime-routeur, victime-serveur, routeur-serveur...), pas du routeur comme sur leur schéma
l'avantage, c'est qu'en mode "sonde", l'attaquant est invisible, tant qu'il n'injecte rien
d'ailleurs dans leur schéma, il n'injecte jamais, il y a un lien que j'appellerais lien magique entre FOXACID et la victime pour cela

le lien magique c'est ce qui apparemment leurs permet de gagner la race condition à coup sur
c'est d'ailleurs probablement de là que viendrait le nom (QUANTUM, dans le sens la plus petite unité de temps)

Dans le MITM classique via un routeur que tu contrôles, tu récupères tout mais tant que tu ne modifies rien c'est indétectable.

Et si un paquet TCP est dupliqué, deux serveurs vont y répondre, et les deux réponses vont arriver chez la victime. C'est pas super discret. (Et le vrai serveur va retransmettre le segment.)

Dans le MITM classique via un routeur que tu contrôles, tu récupères tout mais tant que tu ne modifies rien c'est indétectable.

a moins de ne se placer physiquement entre deux points (mais en interrompant des liaisons), il faut modifier des routes, donc détectable
je pense plutôt a des prises vampires, disons, au fond des océans

Et si un paquet TCP est dupliqué, deux serveurs vont y répondre, et les deux réponses vont arriver chez la victime. C'est pas super discret. (Et le vrai serveur va retransmettre le segment.)

justement, sur le schéma, les deux packets (de réponse) se font la course, je pense que c'est faux, le "SSO SITE" se contente de communiquer au FOXACID, qui est en frontend de yahoo

Je trouve que la NSA a vraiment dépassé les limites...

Chaque semaines des révélations les plus incroyables les une que les autres...

Détourner les colis qui sortent des chaînes de montage de Cisco pour y installer des backdoors. Même si la NSA ne les utilise pas d'autres petits malins (service sercret d'autres pays) peuvent aussi chercher à utiliser les portes installées par la NSA.

Apple, Dell, Cisco et Huawei mécontents des backdoors installés par la NSA
Les grandes oreilles de la NSA se connectent à tous les équipements : mobiles, firewalls, PC, serveurs...

Selon le magazine allemand Der Spiegel, depuis plusieurs années, la NSA exerce ses opérations d'espionnage grâce à des mouchards installés sur un grand nombre de matériels. Cisco, Huawei, Dell et même le canadien Blackberry...

Comme nous vous l'expliquions lundi dernier, l'hebdomadaire d'investigation allemand Der Spiegel rapportait que, depuis plusieurs années, dans le cadre de ses activités d'espionnage, l'Agence de Sécurité Nationale américaine a accès à une large gamme de périphériques, depuis les PC, les iPhone, jusqu'aux disques durs, et routeurs de réseau. Toujours selon Der Spiegel, la NSA aurait également installé des portes dérobées dans les réseaux de télécommunications européens et dans le centre opérationnel du réseau BlackBerry pour espionner les communications des entreprises clientes.

C'est une unité spéciale de l'agence nommée Tailored Access Operations (TAO) qui aurait été chargée d'installer ces mouchards dans divers matériels Apple, Cisco Systems, Dell, Huawei, Juniper, Maxtor, Samsung, Seagate et Western Digital, entre autres. Le mode opératoire n'est pas très clair, mais il semble que la TAO a introduit des logiciels de surveillance ou modifié les firmwares sur certains appareils interceptés avant qu'ils ne soient livrés à leurs clients. Apple, Cisco Systems, Dell, et Huawei ont tous publiquement exprimé leur préoccupation quant à la présence éventuelle de portes dérobées et ont promis d'informer leurs clients sur toutes vulnérabilités identifiées. Tous ont déclaré ne pas être au courant de ces vulnérabilités ou ignorer l'existence du programme TAO. Selon l'article du magazine allemand, il semble que les entreprises n'ont pas coopéré avec la NSA pour permettre l'installation de ces backdoors. Avant-hier, Apple a clairement dit qu'il n'avait jamais travaillé avec la NSA pour lui faciliter l'accès à ses produits. Le constructeur, qui a comparé la NSA aux hackers, a déclaré qu'il protègerait ses clients « contre tout attaquant menaçant la sécurité, quel qu'il soit ».

Personne n'échappe à la NSA

La présence éventuelle d'un mouchard sur l'iPhone a retenu beaucoup d'attention. Des diapositives de la NSA obtenues par Der Spiegel montrent qu'en 2008, l'agence de sécurité savait déjà comment installer des logiciels espions dans l'iPhone, à condition d'avoir le terminal entre les mains. Ces diapositives indiquent aussi que la NSA cherchait des solutions pour installer ce type de spyware à distance. Il est difficile de savoir si la NSA a réussi à parvenir à ses fins et si c'est le cas, pour quelles versions d'iOS. L'installation de logiciels espions sur les terminaux de personnes ciblées est une pratique courante des agences d'espionnage. On sait par exemple que les agents chinois installent des logiciels espions sur les PC et les appareils mobiles des hommes d'affaires occidentaux voyageant dans le pays. Les révélations de l'ex-consultant de la NSA, Edward Snowden, montrent que les États-Unis et d'autres grandes puissances espionnent aussi les citoyens d'autres pays en employant des méthodes aussi agressives que celles longtemps reprochées aux agents chinois.

Dans un communiqué, la NSA n'a pas nié cette activité d'espionnage. Mais l'agence affirme que toutes ses activités sont circonscrites à la surveillance de personnes étrangères. Pourtant, d'après certains documents également révélés par Edward Snowden, la NSA espionnerait aussi des citoyens américains.

Source : Le Monde Informatique le 2 janvier 2014. Article de Jean Elyan avec IDG NS