Récemment, les médias ont rapporté que le département de cybersécurité du FBI avait acheté de grandes quantités de données internet. Ces données ont été achetées à une petite entreprise inconnue basée en Floride. Team Cymru, qui se présente comme le leader mondial du renseignement sur les cybermenaces, vend un accès au trafic en masse et informe ses clients qu'elle peut fournir une passerelle vers une « super majorité des activités sur l'internet ». Plusieurs agences fédérales leur ont déjà acheté des services dans le passé.Certains médias ont obtenu les détails du contrat passé entre le FBI et la société par le biais d'une demande au titre de la loi sur la liberté de l'information (Freedom of Information Act, FOIA). Le contrat ne donne pas beaucoup d'informations sur la raison pour laquelle le FBI a fait l'acquisition de données. Toutefois, en 2017, le gouvernement a payé un total de 76 450 dollars pour ces informations. Ce que le bureau a fait de ces informations reste un mystère. Les données en question, telles que rapportées, sont appelées données Netflow. Apparemment, ces données peuvent être utilisées pour suivre les activités des cybercriminels. Des entreprises telles que Cymru accèdent à ces données en les achetant à des fournisseurs de services. Elles les revendent ensuite aux organismes chargés de l'application de la loi.
Actuellement, le travail du FBI pour identifier et perturber les cybermenaces émanant de la Russie contre l'Ukraine, leurs alliés et leurs propres réseaux américains sont un excellent exemple de la façon dont le FBI utilise ses pouvoirs, ses capacités et ses partenariats uniques dans le cadre de la lutte mondiale contre les cyberactivités malveillantes. Lorsqu'il s'agit de perturber et de contrer la cyberactivité russe en particulier, son travail s'appuie sur les décennies d'expertise du FBI en matière de lutte contre les renseignements étrangers et les cybermenaces aux États-Unis.
Un nouveau rapport de Motherboard indique que cinq responsables des services de renseignement des États-Unis ont participé à une audition du Sénat sur les menaces mondiales. Lors de l'audience, le sénateur Ron Wyden (D - OR) aurait posé la question au directeur du FBI, Christopher Wray : « le FBI achète-t-il des informations sur la géolocalisation des téléphones des citoyens américains ? » Le directeur du FBI a répondu que son agence ne le faisait pas actuellement, mais aurait reconnu qu'elle l'avait fait par le passé. Il aurait limité sa réponse aux données que les entreprises recueillent spécifiquement à des fins publicitaires.
« À ma connaissance, nous n'achetons pas actuellement d'informations provenant de bases de données commerciales comprenant des données de localisation dérivées de la publicité sur Internet. Je crois savoir que nous avons déjà acheté de telles informations dans le cadre d'un projet pilote spécifique de sécurité nationale, mais ce projet n'est plus actif depuis un certain temps », aurait déclaré Wray. Il aurait ajouté que l'agence s'appuyait désormais sur une "procédure autorisée par un tribunal" pour obtenir des données de localisation auprès des entreprises. La réponse est imprécise et l'on ignore s'il faisait référence à un mandat ou à un autre outil juridique.
La stratégie cybernétique du FBI
En septembre 2020, le directeur Wray a annoncé la stratégie cybernétique actuelle du FBI, qui vise à imposer des risques et des conséquences aux cyberadversaires grâce à des pouvoirs uniques, des dispositions de classe mondiale et des partenariats durables, en s'appuyant sur un siècle d'innovation.
Grâce à cette stratégie, l’équipe cyber du FBI s’efforce d'augmenter les coûts pour les acteurs malveillants et leurs complices qui mènent des cyberintrusions, volent la propriété financière et intellectuelle et retiennent les infrastructures critiques en otage pour obtenir une rançon. Au cours des 18 derniers mois, cette stratégie et ses principes ont permis de réaliser des progrès significatifs dans l'avancement de son programme cybernétique et de faire en sorte qu'il soit plus difficile et plus douloureux pour les pirates informatiques d'atteindre leurs objectifs. C'est la même stratégie qui est utilisée aujourd'hui pour contrer les cybermenaces en provenance de Russie.
L'un des exemples les plus notables de réussite récente est le travail effectué pour perturber le ransomware Sodinokibi/REvil, que les cyberacteurs ont utilisé pour compromettre l'entreprise mondiale de transformation de la viande JBS et l'entreprise de logiciels Kaseya en 2021. L'année dernière, au cours de plusieurs mois, le FBI a enchaîné les actions stratégiques avec des partenaires étrangers sur trois continents et avec les départements d'État, de la Justice et du Trésor afin de fournir des clefs de décryptage aux victimes, de saisir des recettes en monnaie virtuelle d'un montant supérieur à 7 millions de dollars et d'arrêter trois membres affiliés du groupe.
L'un de ces affiliés, Yaroslav Vasinskyi, a été extradé vers les États-Unis et a comparu pour la première fois devant le tribunal du district nord du Texas au début du mois. Il faut des relations de confiance profondes pour coordonner ces actions et garantir un impact maximal sur les cybercriminels qui sont visés.
L'année dernière, des acteurs étatiques chinois ont exploité une vulnérabilité dans le logiciel Microsoft Exchange Server pour compromettre des milliers d'ordinateurs américains et installer des coquilles web, c'est-à-dire une porte dérobée leur permettant d'entrer et de sortir de ces réseaux à leur guise.
La Chine a tenté d'ouvrir ces portes dérobées, et les équipes du FBI les ont refermées. Le FBI a mis en œuvre une opération innovante, autorisée par un tribunal, pour copier et supprimer ces portes dérobées de centaines d'ordinateurs vulnérables à travers le pays. Ce qui est peut-être le plus important pour le secteur privé, c'est qu’elle a fait cela qu'après avoir rendu publiques les informations sur les compromissions et travaillé avec Microsoft pour contacter directement les propriétaires des serveurs afin de leur donner le temps de résoudre le problème par eux-mêmes. Et, conformément au respect de la vie privée et des libertés civiles, elle a supprimé les serveurs de manière ciblée, sans exposer le contenu des ordinateurs des victimes au FBI.
En septembre, il a été rapporté qu'un certain nombre d'agences de l'armée américaine avaient dépensé des millions pour se procurer un puissant outil de surveillance d'Internet auprès de la société Augury, basée en Floride. Il semble que le FBI ne soit pas la première agence fédérale à en faire l'acquisition. Augury permet aux utilisateurs d'accéder à un grand nombre d'enregistrements du trafic Internet, y compris aux données de messagerie et à l'historique de navigation, entre autres informations.
Il est surprenant de constater que Cymaru entretient également des relations avec Tor, le navigateur Internet le plus connu en matière de protection de la vie privée. Il s'agit d'une relation peu commune par rapport à leurs autres clients. Les utilisateurs de Tor se sont par ailleurs interrogés sur cette relation inhabituelle et sur les liens entre les deux entreprises. Un utilisateur a posté une capture d'écran montrant une recherche DNS du projet Tor avec Team Cymru. Un autre utilisateur a soupçonné que Rabbi Rob Thomas, le PDG de Cymru, était aussi membre du conseil d'administration du projet Tor.
La révélation, en octobre 2022, du contrat passé par l'armée américaine avec Cymru a mis fin à la relation entre Tor et Cymru. Tor a annoncé qu'il mettrait un terme à son partenariat avec le courtier en données. Selon Tor, Cymru était un fournisseur de matériel et d'autres ressources. Les faits de leur partenariat restent flous, notamment en ce qui concerne les activités des deux entreprises. Fernandes a ensuite indiqué que Tor ne jugeait plus nécessaire de continuer à accepter les dons d'infrastructure de la part de Team Cymru.
Envoyé par Tor
Enfin, parlons un peu d'infrastructure. Notre communauté a, à juste titre, soulevé des inquiétudes concernant l'utilisation par le projet Tor de l'infrastructure de l'équipe Cymru. Team Cymru a donné du matériel et des quantités importantes de bande passante à Tor au fil des ans. Il s'agissait principalement de miroirs web et de projets internes tels que des machines de construction et de simulation.
Comme tout le matériel utilisé par le projet Tor, nous ne pouvons pas garantir une sécurité parfaite lorsqu'il y a un accès physique, nous opérons donc à partir d'une position de méfiance et nous nous appuyons sur la reproductibilité cryptographiquement vérifiable de notre code pour assurer la sécurité de nos utilisateurs.
Comme nous le ferions avec des machines hébergées n'importe où, les machines hébergées à Cymru ont été installées proprement en utilisant un cryptage complet du disque. Cela signifie que l'installation chez Team Cymru n'est pas différente de celle de n'importe quel autre fournisseur que nous utiliserions. Le niveau de risque pour nos utilisateurs était donc le même que lorsque nous utilisions d'autres fournisseurs.
Comme tout le matériel utilisé par le projet Tor, nous ne pouvons pas garantir une sécurité parfaite lorsqu'il y a un accès physique, nous opérons donc à partir d'une position de méfiance et nous nous appuyons sur la reproductibilité cryptographiquement vérifiable de notre code pour assurer la sécurité de nos utilisateurs.
Comme nous le ferions avec des machines hébergées n'importe où, les machines hébergées à Cymru ont été installées proprement en utilisant un cryptage complet du disque. Cela signifie que l'installation chez Team Cymru n'est pas différente de celle de n'importe quel autre fournisseur que nous utiliserions. Le niveau de risque pour nos utilisateurs était donc le même que lorsque nous utilisions d'autres fournisseurs.
Team Cymru commercialise explicitement la capacité de son produit à suivre le trafic à travers les réseaux privés virtuels et à montrer de quel serveur le trafic provient. Plusieurs sources ont précédemment indiqué que les données de flux net peuvent être utilisées pour identifier les infrastructures utilisées par les pirates informatiques.
Les produits de Team Cymru peuvent également inclure des données telles que les URL visitées, les cookies et les données PCAP, mais le document du FBI ne précise pas l'accès à l'un ou l'autre de ces types de données. Parallèlement à la couverture par les médias des ventes de netflow, des agences américaines, un dénonciateur a approché l'officier du sénateur Ron Wyden et lui a rapporté l'utilisation présumée sans mandat de ces données par le NCIS, une agence civile d'application de la loi qui fait partie de la Marine.
Le dénonciateur se serait adressé au bureau de Wyden après avoir déposé une plainte dans le cadre de la procédure officielle de signalement auprès du ministère de la Défense. Le NCIS a précédemment déclaré qu'il utilisait les données de Netflow « à diverses fins de contre-espionnage ».
« L'automne dernier, j'ai demandé à l'inspecteur général du ministère de la Justice d'enquêter sur l'achat de métadonnées par le FBI, après qu'un dénonciateur se soit manifesté », a déclaré Wyden à la semaine dernière. En réponse au document du FBI récemment découvert, Wyden a déclaré qu'il « fournit des preuves supplémentaires que le FBI a acheté des métadonnées Internet, qui peuvent révéler les sites Web que les Américains visitent, ainsi que des informations sensibles telles que le médecin qu'une personne consulte, sa religion ou les sites de rencontres qu'elle utilise ».
« Le FBI doit au peuple américain une explication sur les données qu'il a achetées sur les historiques de navigation des Américains sur Internet et une plus grande transparence sur ses activités. Il n'est pas acceptable que le gouvernement contourne les tribunaux en utilisant une carte de crédit pour acheter des informations privées. C'est pourquoi j'ai proposé la loi "Le quatrième amendement n'est pas à vendre" afin d'interdire l'achat de ce type de données privées », ajoute la déclaration.
Le document du FBI concerne un achat de 76 450 dollars de données de flux net en 2017. Le FBI a également acheté des produits à Argonne Ridge Group, la filiale que Team Cymru utilise pour les contrats avec les agences publiques, en 2009, 2011 et 2013. Après que les médias aient rapporté l'achat par l'armée américaine et d'autres données de Team Cymru, le projet Tor, l'organisation derrière le réseau d'anonymat Tor, a déclaré qu'il s'éloignait de l'infrastructure que Team Cymru avait donnée. Le projet Tor a déclaré qu'il s'attendait à ce que cette migration soit achevée au printemps.
Le rôle du conseil d'administration du projet Tor et les conflits d'intérêts
Tout d'abord, un mot sur les conseils d'administration des organisations à but non lucratif. Bien que chaque association à but non lucratif soit unique à sa manière, le but d'un conseil d'administration d'une organisation comme le Projet Tor, avec un personnel et une communauté substantiels, n'est pas de définir la politique quotidienne ou de prendre des décisions d'ingénierie pour l'organisation.
Le rôle principal du conseil est un rôle fiduciaire : s'assurer que Tor respecte ses obligations en vertu de ses statuts et de sa charte, et le pouvoir d'embaucher et de licencier le directeur exécutif. Bien que les membres du personnel puissent consulter les membres du conseil ayant une expertise pertinente sur les décisions stratégiques, et que les membres du conseil soient sélectionnés en partie pour leur expérience dans l'espace, le conseil est séparé de la maintenance et de la prise de décision sur le code de Tor, et un siège au conseil ne s'accompagne d'aucun privilège spécial sur le réseau Tor.
Les membres du conseil peuvent être consultés sur les décisions techniques, mais ils ne les prennent pas. Le personnel et les volontaires du projet Tor s'en chargent. Le projet Tor a également un contrat social que tout le monde à Tor, y compris les membres du conseil d'administration, doit respecter. « Lorsque nous invitons une personne à rejoindre le conseil d'administration, nous considérons l'individu dans son ensemble, son expérience, son expertise, son caractère et ses autres qualités. Nous ne les considérons pas comme des représentants d'une autre organisation. Mais comme les membres du conseil d'administration ont des obligations fiduciaires, ils sont tenus d'accepter une politique en matière de conflits d'intérêts », déclare Tor.
Cette politique définit un conflit comme « ...le signataire a un intérêt économique dans, ou agit en tant que responsable ou directeur de, toute entité extérieure dont les intérêts financiers pourraient raisonnablement être affectés par la relation du signataire avec le Projet Tor. Le signataire doit également divulguer toute affiliation personnelle, professionnelle ou bénévole qui pourrait donner lieu à un conflit d'intérêt réel ou apparent. »
Traitement des conflits d'intérêts
Comme la plupart des procédures de règlement des conflits prévues par la législation américaine, les conflits au sein des organisations à but non lucratif reposent sur l'évaluation par les individus de leurs propres intérêts et de la mesure dans laquelle ils peuvent diverger. Il incombe souvent aux membres du conseil d'administration, qui connaissent l'étendue de leurs obligations, de poser des questions sur les conflits au reste du conseil d'administration ou de se récuser des décisions.
Cela signifie également que les conflits, et les conflits perçus comme tels, évoluent avec le temps. Dans le cas du travail de Rob Thomas avec Team Cymru, le personnel et les bénévoles du projet Tor ont fait part de leurs préoccupations à la fin de l'année 2021, ce qui a donné lieu à des conversations internes. Je crois qu'il est important d'écouter la communauté, et j'ai donc travaillé pour faciliter les discussions et faire émerger des questions que nous pourrions essayer d...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
