Artheriom

Développeur & Étudiant à l'Université Clermont-Auvergne

Comment la NSA nous traque.

Disclaimer : Le contenu ci-dessous est issu d’un document de travail diffusé par Edward Snowden, dont le lien se situe ci-dessous. Compte-tenu de la difficulté de compréhension des failles exploitées, je ne pourrais être tenu pour responsable d’une quelconque erreur ou incompréhension sur les méthodes employées. Merci.

 

Notes issues des révélations d’Edward Snowden au sujet des pratiques et techniques des services de renseignement américain.

A l’heure actuelle, il n’existe aucune solution miracle, ni même infaillible, pour tracer une cible à travers des réseaux d’anonymisation (proxies, réseaux cryptés), etc. Il y a une grande part de « chance » dans ces surveillances.

Les cibles cherchent, en règle générale, à ne pas être suivies par les entreprises, mais surtout par les agences gouvernementales. Ils utilisent donc des proxys, des anonymisateurs IP, etc.

 

1ère phase : Etude du fonctionnement des anonymisateurs.

 

Le seul moyen pour traquer une communication à travers un anonymisateur est de comprendre comme celui-ci fonctionne, afin de comprendre ce qui transite et repérer des SIGINT (alias des renseignements d’origine électromagnétiques) précis.

En général, on procède comme suit :

  • On identifie un nouveau proxy ou anonymisateur
  • On recherche des documents sur son fonctionnement, et/ou on utilise nous même le système pour comprendre son fonctionnement.
  • On crée ensuite des empreintes dans le système pour identifier son trafic (par exemple, un identifiant en début de chaque requête passant par un proxy)
  • On recoupe les données transitant par le proxy ou l’anonymisateur avec le trafic déjà connu de la cible.

 

2ème phase : Application.

Nous allons voir deux cas d’application sur l’analyse du fonctionnement d’un anonymisateur, et les contournements possibles. Nous aborderons le cas d’AnchorFree, un des leaders du domaine, ainsi que Tor, protocole décentralisé et très utilisé.

 

         Exemple 1 : Anchorfree

Anchorfree est une société allemande qui dispose de nombreux serveurs à travers le monde. Afin de naviguer à travers ses serveurs de manière anonyme, le client doit télécharger sur son ordinateur un client, nommé Hotspot Security (abrégé HSS) pour se connecter au service.

Quand l’utilisateur démarre le logiciel, il établit une connexion sécurisée entre son PC et un serveur de Anchorfree, au hasard.

à L’utilisateur accède alors trafic via l’IP d’Anchorfree.

 

Il existe cependant un moyen de continuer à identifier précisément un utilisateur du service…

En réalité, on peut construire un mapping réseau statique entre le client et le serveur (le client aura toujours la même IP d’Anchorfree assignée, comme une règle DHCP fixe en local).

On peut alors savoir, depuis une IP d’AnchorFree, quels sont les clients connectés, et, en analysant les données transmises selon les habitudes de navigation de la cible, et les tunnels SSL établis, identifier tout le trafic d’un client spécifique. On peut également écrire des règles XKS pour récupérer automatiquement les données d’Anchorfree de manière massive, en fonction des sources, la localisation IP d’origine du client, etc…

 

 

Exemple 2 : Tor

Lorsqu’un utilisateur de Tor veut se connecter au service, il va choisir 3 « nœuds » (serveurs) Tor par lesquels vont transiter les requêtes du client. Parmi eux, il y aura forcément un « Guard Node », un serveur d’entrée du réseau Tor, considéré comme « sûr » (pas de journalisation de la connexion, etc…). Sa connexion va être encapsulée plusieurs fois dans le protocole SSL.

 

En jaune, la requête de base. En rouge, la première encapsulation SSL. En bleu, la seconde encapsulation SSL. Enfin, en magenta, la troisième encapsulation SSL.

 

Explication : Le PC va crypter la requête de base avec les certificats du serveur 3, 2 et 1. Il va envoyer le tout au serveur TOR 1. Le serveur TOR 1 va décrypter sa clef SSL et transmettre le reste à TOR 2. Il va à son tour décrypter avec sa clef, puis transmettra à 3. Ce dernier décryptera le message et enverra la requête au site de base. La réponse suivra le même schéma.

Problème : SSL utilise une paire de clef publique / privée (comme PGP). On peut donc, en connaissant les clefs publiques des serveurs, remonter le trafic. Il sera cependant compliqué de casser l’encryption. Mais cela permet tout de même de remonter à la source facilement et donc intercepter le trafic. Par ailleurs, en interceptant le trafic du dernier serveur, on peut récupérer les requêtes « en clair ».

 

 

         Conclusion

Nous pouvons conclure cette analyse sur plusieurs points principaux : D’une part, les services de renseignements américains disposent de moyen d’analyse du réseau et de procédés de désanonymisation des utilisateurs très poussés. Cependant nous constatons que :

  • Dans le premier cas d’étude, les services de renseignement ont dû accéder aux système d’anonymisation pour garantir une interception à coup sûr (Anchorfree)
  • Dans le cas de Tor, les services de renseignement s’appuient en réalité sur une limitation technique de la technologie SSL. Les analyses pour remonter à la source peuvent être empêchées facilement : En demandant à Tor de tracer une nouvelle route pour chaque requête, ou utiliser un grand nombre de serveurs intermédiaires, ce qui augmentera énormément le temps que mettront les agents à faire un « traçage » du réseau.

Les révélations d’Edward Snowden sont tout de même préoccupantes, puisqu’un système qu’on considérait jusqu’alors sûr (Tor) n’est en réalité pas si protégé que ça, en utilisant une approche très pragmatique du système. Cependant, il convient de relativiser, puisque l’espionnage des communications cryptées via ces réseaux reste très complexe et lent.

 

Sources :
Tracking Targets Through Proxies and Anonymizers :
https://edwardsnowden.com/wp-content/uploads/2016/11/Tracking-Targets-Through-Proxies-amp-Anonymizers.pdf

SIGINT / ROEM :
https://fr.wikipedia.org/wiki/Renseignement_d’origine_électromagnétique

Next Post

Previous Post

Leave a Reply

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

© 2018 Artheriom

Theme by Anders Norén