Pour rappel, XKeyscore désigne un programme de surveillance de la NSA, mais également l’ensemble des logiciels que l’agence a utilisés pour lancer cette surveillance de masse opérée conjointement avec les services de renseignements britanniques, canadiens, australiens et néo-zélandais, services dont la coopération historique en matière de partage de l'information a entraîné le surnom des « Five Eyes ». Il permettrait une « collecte quasi systématique des activités de tout utilisateur sur Internet », grâce à plus de 700 serveurs localisés dans plusieurs dizaines de pays.
Leur analyse a permis aux chercheurs d’identifier deux serveurs, à Berlin et à Nuremberg, qui sont surveillés par la NSA. L’une des adresses IP ciblées par la NSA est assignée à Sebastian Han, un étudiant en sciences informatiques à l'Université d'Erlangen. Durant son temps libre, Han est un volontaire du projet Tor : il est surtout un élément de confiance de la communauté Tor étant donné que son serveur n’est pas un simple nœud, mais un serveur faisant partie des Directory Authority, un relais à usage spécial qui maintient une liste de relais actuellement en cours d'exécution et publie périodiquement un consensus avec les autres Directory Authority. « Il y en a 9 de par le monde et ils sont essentiels au réseau Tor puisqu’ils contiennent un index de tous les nœuds Tor », précisent les chercheurs.
Son prédécesseur avait nommé ce serveur Gabelmoo, nom que Han a trouvé dans le code source définissant les fonctions/variables de XKeyscore. « Oui, j’ai reconnu l’adresse IP de mon serveur Tor appelé “Gabelmoo” », a indiqué Han. « Des millions de personnes s’en servent aujourd’hui pour rester protégées en ligne. Et, en espionnant le serveur et en collectant des métadonnées sur les utilisateurs, ces personnes se retrouvent en danger ». Dans le code source est définie une variable globale pour les Directory Autorities pour la recherche des potentiels clients se connectant à ces serveurs via les ports 80 et 443. Une variable globale est également définie pour les Directory Autorities localisées parmi les Five Eyes.
Mais il n’est pas question que de métadonnées. Les fournisseurs de services Internet dans les pays appliquant une forte censure comme la Chine ou l'Iran bloquent souvent les connexions aux relais connus de Tor. Pour éviter ce blocage, le projet Tor maintient une liste de relais non publics appelés « ponts » (bridge en anglais) pour permettre aux utilisateurs d'éviter ce type de blocage. Les ponts sont gérés par des bénévoles et ils partagent les détails avec le projet Tor pour aider les utilisateurs à contourner la censure pour délivrer leur message sur Internet.
Les utilisateurs peuvent demander l’accès à un pont par exemple via courriel. Dans le code source de XKeyscore, la NSA tente d’identifier les utilisateurs de ces ponts en se servant de deux méthodes :
- la première consiste à définir une empreinte des connexions aux serveurs bridges.torproject.org ;
- afin d’obtenir les adresses actuelles des ponts pour des besoins de surveillance, la seconde méthode consiste à extraire les données du corps des courriels que le projet Tor envoie à ses utilisateurs.
En réaction à ces découvertes, le projet Tor, par le biais de Roger Dingledine, s’est montré plutôt rassurant pour les utilisateurs : « pendant des années, nous avons envisagé la surveillance de l'État à cause de notre travail dans des endroits où les journalistes sont menacés. L’anonymat de Tor repose sur la confiance distribuée, aussi, observer le trafic à un seul endroit dans le réseau Tor, même d’une autorité directoire, ne suffit pas à le casser. Tor s’est répandu dans le grand public au cours des dernières années, et sa grande diversité d'utilisateurs - allant des individus animés par un esprit civique aux consommateurs ordinaires en passant par des militants, des forces de l’ordre, mais aussi des entreprises - fait partie de sa sécurité. Apprendre que quelqu’un a juste visité le site Tor ou Tails ne vous dit pas si cette personne est une source de journaliste, quelqu'un qui craint que son fournisseur de services Internet en apprenne davantage sur son état de santé, ou juste quelqu'un contrarié par le fait que les vidéos de chats soient bloquées dans son pays. Essayer de faire une liste des millions d’utilisateurs quotidiens de Tor compte certainement comme une collection à grande échelle. Leur attaque sur le service de distribution d'adresses de pont montre leur mentalité de “recueillir toutes choses" - ça vaut la peine de souligner que nous avons conçu des ponts pour les utilisateurs dans des pays comme la Chine et l'Iran, et ici nous découvrons des attaques lancées par notre propre pays. Est-ce que la lecture du contenu de ces mails viole la loi sur l’écoute électronique ? Maintenant, je comprends comment les ingénieurs de Google ont ressenti quand ils ont découvert les attaques sur leur infrastructure ».
La NDR et la WDR ont voulu savoir de la NSA comment elle justifie le fait d’attaquer un service financé par le gouvernement des États-Unis, en vertu de quelle autorité légale les utilisateurs du réseau Tor sont espionnés et si le gouvernement allemand a vent du ciblage des serveurs en Allemagne. Ce à quoi la NSA a répondu de ce commentaire : « dans le cadre de sa mission, la NSA ne recueille que ce qu'elle est autorisée à recueillir par la loi à des fins de renseignements étrangers valides - indépendamment des moyens techniques utilisés par les cibles. Les communications de personnes qui ne sont pas des cibles de renseignements étrangers ne sont d'aucune utilité à l'agence. En janvier, le président Obama a publié la directive politique présidentielle américaine 28, qui affirme que toute personne, indépendamment de sa nationalité, a des intérêts personnels légitimes dans le traitement de ses renseignements personnels, et que la vie privée et les libertés civiles devraient être des considérations intégrées dans la planification des activités des services de renseignements américains. La directive du président précise également que les États-Unis ne recueillent pas des renseignements dans l’optique de supprimer ou d'alourdir la critique ou la dissidence, ou pour défavoriser des personnes en fonction de leur appartenance ethnique, raciale, leur sexe, leur orientation sexuelle ou leur religion. XKeyscore est un outil d'analyse qui est utilisé comme une partie intégrée au système légal de collecte du renseignement de la NSA. De tels outils ont des mécanismes de surveillance conçus à plusieurs niveaux qui sont en conformité rigoureuse avec la loi. L'utilisation de XKeyscore permet à l'organisme d’aider à défendre la nation et de protéger les troupes américaines et ses alliés à l'étranger. Toutes les activités de la NSA sont effectuées en stricte conformité avec la loi, y compris la nouvelle directive du Président ».
Source : rapport de la NDR, la WDR et du projet Tor , code source XKeyscore ( fichier définissant des fonctions/variables)