Cyberespionnage: Créé par les Five Eyes, avec pour nom de code Eonblue
Selon https://crypto.quebec/a-propos/ , EONBLUE est une plateforme de détection de cybermenaces gérée par le CSTC - Centre de la sécurité des télécommunications du Canada,ce programme serait en service depuis 2002. ''Hello Canada'' ;-).
Un système créé par les Five Eyes, avec pour nom de code Eonblue,
était utilisé pour surveiller les utilisateurs de Blackberry en
Arabie saoudite. Parmi tous les pays où se sont déroulées des
manifestions en lien avec le Printemps arabe, l’Arabie saoudite a été la plus rapide pour mater la révolte dans ses rues de façon brutale. L’intérêt des Five Eyes pour les télécommunications saoudiennes pendant l’opération Irritant horn pourrait indiquer qu’une telle surveillance servait deux objectifs. La NSA et ses partenaires, dans un acte de guerre de l’information,
auraient pu , d’une part piloter des manifestants dans leur soulèvement
antigouvernemental en Égypte, en Libye, en Syrie et dans d’autres pays,
via des opérations MITM, et d’autre part avertir les autorités
saoudiennes au sujet des manifestations qui se préparaient chez elles.
Résumés SIGINT canadiens: Tout sur EONBLUE!!!
Le Centre de la sécurité des télécommunications (CST)1 est l'organisme de renseignement électromagnétique étranger du Canada. Le CSE fonctionne depuis la Seconde Guerre mondiale. Bien qu'il existe depuis aussi longtemps et qu'il fonctionne en vertu d'un mandat législatif depuis 2001, ce n'est que lorsque les journalistes publient des articles basés sur des documents fournis pour la première fois par Edward Snowden et d'autres dénonciateurs que les Canadiens ont commencé à prêter attention aux actions de l'agence. Les histoires ont révélé la mesure dans laquelle le CST s'est associé à d'autres agences de renseignement occidentales ainsi que les types d'activités auxquelles le CST a lui-même participé.
Le CST est chargé de remplir une série de mandats conformément au paragraphe 273.64(1) de la Loi sur la défense nationale. Elles sont:
acquérir et utiliser des renseignements électromagnétiques étrangers conformément aux priorités du gouvernement du Canada en matière de renseignement
aider à protéger l'information électronique et les infrastructures d'information importantes pour le gouvernement du Canada; et
fournir une assistance technique et opérationnelle aux agences fédérales chargées de l'application de la loi et de la sécurité, notamment en les aidant à obtenir et à comprendre les communications collectées sous les autorités légales de ces agences.
Cette page rassemble actuellement des documents divulgués liés aux opérations du CST ainsi que les rapports annuels publiés par le Bureau du commissaire du Centre de la sécurité des télécommunications. À l'avenir, il comprendra également les documents de procédure du CST qui ont été rendus publics en vertu de la législation sur l'accès à l'information et la protection des renseignements personnels (AIPRP). Bien que j'aie essayé de rassembler de manière exhaustive ces documents, il est tout à fait possible que j'en ai raté certains ; si vous avez un document principal et souhaitez que je l'ajoute aux listes ci-dessous, veuillez me contacter avec le document et quelques informations à ce sujet. Un référentiel plus complet des documents divulgués par Snowden de toutes les agences est disponible dans les archives de surveillance Snowden.
Table des matières
Documents du CST divulgués
Les hackers sont aussi des humains : les cybermeneurs mènent aux Cl
CROSSHAIR - Des partenaires étrangers comblant les lacunes HF / DF pour les États-Unis
Tradecraft d'analyse de réseau synergique : équipe d'avancement de réseau Tradecraft (NTAT)
CASCADE : architecture conjointe de cybercapteurs
Activités de R&D sur la défense des cyberréseaux
Découverte des cybermenaces ITS/N2E du CSTC
Capacités du CSTC en matière de cybermenace : SIGINT et STI : une approche de bout en bout
Détection des cybermenaces
Relation de renseignement de la NSA avec la Nouvelle-Zélande
Procès-verbal du Forum de développement SIGINT (SDF)
Open Source pour la cyberdéfense/progrès
Qui d'autre cible votre cible ? Collecte de données volées par des pirates
LA LÉVITATION et l'hypothèse FFU
Faites attention à cet homme derrière le rideau : Découvrir les clients sur l'infrastructure CNE
CSE SIGINT Cyber Discovery : Résumé de l'effort actuel
Tendances TLS : une table ronde sur l'utilisation actuelle et les orientations futures
Détection automatique des NOC
2e SCAMP au processus CSEC (partie d'AURORAGOLD)
Partage d'informations cryptologiques sur les opérations de réseau informatique avec des partenaires étrangers
LANDMARK (Associé à HACIENDA)
Pays, territoires et individus tiers non ciblés
SNOWGLOBE : de la découverte à l'attribution
Analyse du profilage IP et impacts de la mission
Briefing thématique mobile
Relation de renseignement de la NSA avec le Centre de la sécurité des télécommunications Canada (CSTC)
INFORMATEUR SANS FRONTIÈRES Documents (Collection)
Document de travail de Cheltenham (fragments)
Et ils ont dit aux titans : faites attention aux olympiens dans la maison
La NSA apporte son soutien aux prochains sommets du G8 et du G20 au Canada
Guide CABINE (NSA)
Protocole d'accord (MOU) entre l'Agence de sécurité nationale/Service central de sécurité (NSA/CSS) et l'unité nationale israélienne SIGINT (INSU) concernant la protection des personnes américaines
Documents de procédures du CST
À venir
Rapports du Bureau du commissaire du Centre de la sécurité des télécommunications
Rapport annuel 2016-2017
Rapport annuel 2015-2016
Rapport annuel 2014-2015
Rapport annuel 2013-2014
Rapport annuel pour 2012-2013
Rapport annuel pour 2011-2012
Rapport annuel pour 2010-2011
Rapport annuel pour 2009-2010
Rapport annuel pour 2008-2009
Rapport annuel pour 2007-2008
Rapport annuel pour 2006-2007
Rapport annuel pour 2005-2006
Rapport annuel pour 2004-2005
Rapport annuel pour 2003-2004
Rapport annuel pour 2002-2003
Rapport annuel pour 2001-2002
Rapport annuel pour 2000-2001
Rapport annuel pour 1999-2000
Rapport annuel pour 1998-1999 (externe)
Rapport annuel pour 1997-1998 (externe)
Rapport annuel pour 1996-1997 (externe)
Notes de bas de page
Documents du CST divulgués
Les documents du CST sont répertoriés avec les documents les plus récemment publiés vers le haut de la liste. J'ai essayé de rassembler la version la plus complète des documents et je n'ai inclus que les entrées où un document a été rendu public.
Dans la mesure du possible, j'ai identifié la date de création des documents et fourni un résumé des aspects du document pertinents pour le CST. J'ai noté la longueur des documents mais, dans le processus, j'exclus les informations ajoutées par les organisations de défense des droits aux documents sources (par exemple, leurs notes sur la source originale du document). J'ai également inclus un lien vers l'article qui a été associé pour la première fois au document.
Les documents étaient souvent produits par les partenaires les plus proches du CST qui, collectivement, forment le réseau de renseignement « Five Eyes ». Ce réseau comprend le CSE, la National Security Agency (NSA), le Government Communications Headquarters (GCHQ), l'Australian Signals Directorate (ASD)2 et le Government Communications Security Bureau (GCSB)).
Tous les documents sont téléchargeables sur ce site. Bien que j'héberge les documents, ils ont tous été publiés pour la première fois par une autre partie.
Les hackers sont aussi des humains : les cybermeneurs mènent aux Cl
Résumé : Cet ensemble de diapositives présente une méthode utilisée par le CST pour exposer la structure de gestion et les opérateurs derrière les activités d'exploitation de réseaux informatiques (CNE), à savoir l'utilisation de tâches d'infrastructure passive et le chaînage de contacts. En surveillant l'infrastructure qui a été exposée par des logiciels malveillants ou la diffusion de contenu pour des sessions réseau anormales, le CSE a ensuite été en mesure de retracer les opérations MAKERSMARK (c'est-à-dire russes).
Bien que les systèmes moins attribués de MAKERSMARK puissent rendre difficile la traçabilité efficace des opérateurs, ceux-ci ont été mal utilisés et les opérateurs ont exposé des informations associées à leur vie personnelle. De plus, l'organisation de développement responsable des systèmes moins attribués de MAKERSMARK a été infectée par crimewave et le CSE (ou d'autres agences de renseignement amies) a donc pu collecter des informations qui étaient exfiltrées vers des organisations criminelles.
Le diaporama se termine par l'avertissement qu'il est important de suivre les pistes de contre-espionnage, rapidement, car les opportunités ne durent pas éternellement. De plus, il y avait un avertissement qu'à mesure qu'un programme CNE mûrit, comme celui géré par MAKERSMARK, la sécurité opérationnelle associée au programme mûrira de la même manière.
Publication du document : 2 août 2017
Document daté : Post 2009
Longueur du document : 13 pages
Article connexe : La Maison Blanche déclare que les pirates informatiques russes sont trop bons pour être pris, mais un partenaire de la NSA les a traités de "crétins"
Télécharger le document : Les pirates sont aussi des humains : les cybermeneurs mènent à des clients potentiels
Classification : TS//SI/REL TO CAN, AUS, GBR, NZL et USA
Agence auteur : CSE
Noms de code : MAKERSMARK
CROSSHAIR - Des partenaires étrangers comblant les lacunes HF / DF pour les États-Unis
Résumé : Ce bref article identifie le nombre de ressources tierces de radiogoniométrie haute fréquence (HF/DF), ainsi que les tiers contributeurs, qui composent collectivement le réseau CROSSHAIR avec les actifs du gouvernement américain. Le nom de couverture CROSSHAIR fait référence à un projet qui a regroupé toutes les ressources HF/DF du Service Cryptologic Element (SCE) des États-Unis et permet l'opérabilité des données avec des partenaires.
Le Canada possédait quatre sites au moment de la rédaction, la Grande-Bretagne six, et l'Australie et la Nouvelle-Zélande un chacun. Des tiers, dont l'Autriche, le Danemark, l'Éthiopie, la Hongrie, Israël, l'Inde, l'Italie, le Japon, la Jordanie, la Corée, les Pays-Bas, la Norvège, le Pakistan, l'Arabie saoudite, la Suède et Taïwan, ont également partagé avec la NSA et, dans certains cas, directement les uns avec les autres. La NSA reconnaît, dans ce document, que sans les collaborateurs tiers, la NSA manquerait d'un réseau mondial pour la radiogoniométrie.
Publication du document : 24 avril 2017
Document daté du : 25 février 2005
Longueur du document : 1 page
Article connexe : Le Japon a conclu des accords secrets avec la NSA qui ont élargi la surveillance mondiale
Télécharger le document : CROSSHAIR — Des partenaires étrangers comblant les lacunes HF/DF pour les États-Unis
Classification : TOP SECRET//SI//TK//REL TO USA, AUS, CAN, GBR, NZL
Agence auteur : NSA
Noms de code : CROSSHAIR
Tradecraft d'analyse de réseau synergique : équipe d'avancement de réseau Tradecraft (NTAT)
Résumé : Ce jeu de diapositives présente certaines des activités et des réussites de la Network Tradecraft Advancement Team (NTAT). Les diapositives se concentrent sur la façon de développer et de documenter le métier qui est utilisé pour corréler les données téléphoniques et Internet. Deux ateliers distincts sont discutés, l'un en 2011 et l'autre en 2012. Les résultats de l'atelier comprenaient l'identification des données potentiellement convergées (entre les données de téléphonie et Internet) ainsi que la géolocalisation des serveurs d'applications de téléphonie mobile. Une analyse commune d'identification de la passerelle mobile a été adoptée par trois agences, dont DSD. Le NTAT avait également adopté le système de documentation de l'artisanat CRAFTY SHACK au cours de ces ateliers.
Dans une expérience, baptisée IRRITANT HORN, les analystes ont cherché à savoir s'ils pouvaient identifier des connexions entre un pays potentiellement « révolutionnaire » et des serveurs d'applications mobiles. Ils ont corrélé avec succès les connexions avec les serveurs d'applications, ce qui a ouvert la possibilité de mener des attaques Man in the Middle ou d'effectuer des opérations sur les appareils mobiles, ainsi que la possibilité de récolter des données en transit et au repos à partir des appareils. Et le profilage des serveurs d'applications mobiles, il semble qu'EONBLUE ait été utilisé pour collecter des informations sur une société nommée Poynt ; l'application de cette société était utilisée par des utilisateurs de Blackberry, et les serveurs présentés étaient situés à Calgary, Alberta (Canada).
Les agences ont réussi à trouver des vulnérabilités dans UCWeb, qui s'est avérée divulguer IMSI, MSISDN, IMEI et d'autres caractéristiques de l'appareil. Ces vulnérabilités ont été utilisées pour découvrir une cible et il a été déterminé que les vulnérabilités pourraient permettre à une agence SIGINT de fournir des logiciels malveillants à la cible. Un "microplugin" pour XKeyscore a été développé afin que les analystes puissent rapidement faire apparaître le matériel SIGINT lié à UCWeb. (REMARQUE : Le Citizen Lab a analysé les versions ultérieures d'UCWeb et a trouvé des vulnérabilités qui ont ensuite été corrigées par l'entreprise. Pour en savoir plus, voir : « A Chatty Squirrel : Privacy and Security Issues with UC Browser. »)
Document publié : 21 mai 2015
Document daté : 2012 ou plus tard
Longueur du document : 52 pages (diapositives et notes)
Article connexe : les agences d'espionnage ciblent les téléphones mobiles et les magasins d'applications pour implanter des logiciels espions
Télécharger le document : Synergiser l'analyse de réseau Tradecraft : Network Tradecraft Advancement Team (NTAT)
Noms de code mentionnés : ATLAS, ATHENA, BLAZING SADDLES, CRAFTY SHACK, DANAUS, EONBLUE, FRETTING YETI, HYPERION, IRRITANT HORN, MASTERSHAKE, PEITHO, PLINK, SCORPIOFORE
CASCADE : architecture conjointe de cybercapteurs
Résumé : Ce document traite de la configuration des réseaux de capteurs du CST à partir de 2011 et des plans du CST pour développer le réseau à l'avenir. La discussion n'a porté que sur les capteurs passifs et leur infrastructure de support. Deux systèmes de capteurs ont été identifiés, PHOTONIC PRISM, pour surveiller les réseaux du gouvernement du Canada, et EONBLUE, qui est un système SIGINT passif qui a été utilisé pour collecter des données « complètes », ainsi que pour effectuer des détections basées sur des signatures et des anomalies sur le trafic réseau.
Les systèmes EONBLUE ont été déployés dans certains réseaux gouvernementaux et ont également été utilisés pour surveiller les communications par satellite étranger (FORNSAT) ; il peut également être utilisé pour surveiller le trafic de télécommunications cellulaires ou radio. Le système INDUCTION, qui a des capacités similaires à EONBLUE, a été déployé au niveau national aux passerelles entre les domaines de réseau nationaux et internationaux. Le document traite également d'un programme de production et de traitement de métadonnées, THIRD-EYE, qui a fonctionné sur de nouveaux sites sélectionnés et d'un capteur non classifié, CRUCIBLE, qui a été conçu pour suivre les cibles dans les installations d'information compartimentées pré-sensibles (SCIF).
CASCADE est le nom de code d'un projet axé sur la normalisation de la sécurité des technologies de l'information (ITS) et des capteurs SIGINT, afin que les capteurs susmentionnés puissent être intégrés de manière transparente et permettent une plate-forme d'analyse commune pour les données capturées.
D'ici 2015, le CST espérait augmenter son accès à la source spéciale (SSO) pour inclure toutes les passerelles internationales accessibles à partir du Canada ainsi qu'un réseau de capteurs multicouches destiné à améliorer la sécurité des systèmes du gouvernement du Canada. De plus, la capacité opérationnelle devait être améliorée, de sorte que les capteurs SIGINT, ITS et partenaires cryptologiques interopéraient de manière transparente. On ne sait pas exactement ce que ces capteurs partenaires peuvent englober. L'autorité a également été recherchée pour les opérations "Effets", ainsi que l'infrastructure, les politiques et l'artisanat nécessaires pour mener de telles opérations.
Grâce à ces activités, le CST espérait détecter les menaces avant qu'elles ne pénètrent dans l'infrastructure nationale, identifier les exfiltrations et les systèmes de commandement et de contrôle, et transformer le réseau lui-même en un domaine défensif. Cet objectif final exigerait que le CSE soit en mesure de modifier les routes de trafic de données, d'éliminer silencieusement les paquets et d'insérer des charges utiles dans les paquets de données. Le CST considérait ces activités « défensives » étendues comme nécessaires parce que la défense des passerelles ou des nœuds terminaux était insuffisante pour protéger les systèmes gouvernementaux.
Si les capteurs étaient mis à niveau, le CST a suggéré que des changements aux interopérations de base de Five Eyes pourraient suivre. Ces changements comprenaient les éléments suivants : les pourboires et les files d'attente pourraient ne plus être utilisés pour partager les menaces contre les systèmes gouvernementaux et pourraient plutôt être utilisés exclusivement pour permettre la collecte de renseignements ; et il ne serait pas nécessaire de faire des demandes de tâches/ciblages concernant les acteurs communs qui ciblent le CST et les autres membres de l'alliance Five Eyes. Le résultat serait que le SIGINT étranger deviendrait un domaine de «chasse» et que la défense nationale serait intégrée au cœur même d'Internet - national et étranger - lui-même.
Publication du document : 23 mars 2015
Document daté : 2011
Longueur du document : 66 pages
Article connexe : La boîte à outils de cyberguerre du Centre de la sécurité des communications révélée
Télécharger le document : CASCADE : Architecture conjointe des cybercapteurs
Activités de R&D sur la défense des cyberréseaux
Résumé : Ce jeu de diapositives donne un aperçu des activités de recherche et de développement entreprises par le groupe Cyber Network Defense (CND). L'objectif principal de CND à l'époque était sur PHOTONIC PRISM, un réseau de capteurs travail conçu pour protéger les réseaux et les appareils du gouvernement du Canada contre les menaces externes.
Le CND a principalement tiré parti de la R&D de partenaires externes car sa taille l'empêchait de mener des recherches de bas niveau. À titre d'exemple, il a utilisé POPQUIZ de R23 et un scanner de pièces jointes d'e-mail du GCHQ. Les projets dans lesquels CND était engagé à l'époque incluent PONYEXPRESS, un programme d'analyse des e-mails, le PHOTONIC PRISM mentionné précédemment et la défense dynamique activée par un logiciel installé sur le matériel Consumer Off The Shelf (COTS).
Le CND a noté que les défis comprenaient la durée de ses activités de recherche, la traduction des exigences classifiées dans un domaine non classifié, la participation appropriée de l'industrie et du milieu universitaire, et la politique, entre autres défis.
Publication du document : 23 mars 2015
Document daté : 2010
Longueur du document : 26 pages
Article connexe : La boîte à outils de cyberguerre du Centre de la sécurité des communications révélée
Télécharger le document : Activités de R&D pour la défense des cyberréseaux
Découverte des cybermenaces ITS/N2E du CSTC
Résumé : Ce jeu de diapositives fournit un contexte sur l'unité N2E de la sécurité des technologies de l'information (ITS), ses capacités existantes et une série d'expériences menées lors d'un atelier tenu en 2010 au Canada. L'équipe N2E a été créée en 2010 et utilise des données complètes et (à l'époque) progressait dans la mise en place de politiques pour utiliser les communications privées interceptées et partager ou accéder aux données partagées. Ils ont stocké des captures de paquets complets du trafic destiné au gouvernement du Canada pendant des jours, voire des mois, et des métadonnées pendant des mois, voire des années.
Le principal problème auquel était confronté N2E, ou peut-être plus largement le CST, était le volume de données acquises, conservées, résumées, analysées et présentées aux analystes. L'atelier de 2010 qui s'est tenu au Canada a relevé certains de ces défis en élaborant un processus visant à réduire le volume d'informations de métadonnées d'URL d'e-mail présentées aux analystes, ce qui a réduit les taux de faux positifs par rapport aux inspections d'URL. L'atelier a également analysé comment prédire si les pièces jointes des e-mails étaient malveillantes, ce qui a permis de réduire la rétention de données de 85 % avec seulement une perte de 1 à 3 % d'e-mails "intéressants". Les participants ont également étudié comment détecter plus efficacement les acteurs malveillants qui utilisaient des téléchargements masqués de l'environnement de préinstallation Windows (PE), ce qui a permis de progresser dans l'identification des types de téléchargements incriminés.
Publication du document : 23 mars 2015
Document daté : 2010
Longueur du document : 60 pages
Article connexe : La boîte à outils de cyberguerre du Centre de la sécurité des communications révélée
Télécharger le document : CSTC ITS/N2E Cyber Threat Discovery
Capacités du CSTC en matière de cybermenace : SIGINT et STI : une approche de bout en bout
Résumé : Ce jeu de diapositives donne un aperçu de la manière dont SIGINT et la sécurité des technologies de l'information (ITS) du gouvernement interagissent pour les opérations "défensives". L'analyse du trafic de données est effectuée par des capteurs du gouvernement du Canada, ainsi que par ceux mandatés par le SCRS pour une collecte complète garantie, ceux situés aux passerelles Internet canadiennes/internationales, ceux situés dans l'Internet élargi, ainsi que le trafic de données analysé sur les appareils CST a « exploité ».
EONBLUE est utilisé pour l'analyse des réseaux non gouvernementaux du Canada et implique la découverte de cibles, leur suivi, ainsi que la production de métadonnées à partir du trafic exposé à EONBLUE. EONBLUE est un système basé sur l'inspection approfondie des paquets qui, lorsqu'il est associé à une prise complète garantie, permet au CSE de découvrir les balises du réseau. Le programme équivalent d'ITS est PHOTONIC PRISM.
Les capteurs réseau de CSE traitaient 125 Go/heure de métadonnées HTTP et s'appuyaient sur 50 To de stockage à haut débit pour effectuer des analyses en amont de la réception des données. ITS a stocké 300 To de données complètes, soit l'équivalent de mois de trafic.
Lors du processus d'analyse des données des capteurs ITS et SIGINT, des anomalies et des événements sont détectés, qui sont traités par des moteurs d'alerte et des serveurs logiques de décision ; les informations logiques sont partagées avec tous les partenaires de Five Eyes à la suite de la résolution de Sydney. La logique est basée, en partie, sur les informations de basculement et de repérage; ces informations peuvent faciliter les avertissements ou les indications d'attaques en temps quasi réel et permettre une défense collaborative dans toutes les nations Five Eyes.
Le CST a identifié la « défense dynamique » comme impliquant à la fois des actions localisées à la périphérie du réseau par les STI, ainsi que des opérations au cœur de l'Internet mondial pour agir sur le trafic de données et le modifier, ainsi que l'implantation de logiciels malveillants sur des infrastructures étrangères pour sonder, explorer et découvrir l'espace réseau de l'adversaire et recueillir des informations et des outils utilisés par les adversaires. Ces opérations « défensives » peuvent être complétées par des technologies d'influence, telles que les signatures d'entreprises antivirus, le développement de relations avec les chaînes d'approvisionnement ou des manœuvres politiques. Ces activités sont séparées dans le « spectre des activités cybernétiques » des opérations actives et des techniques de tromperie.
La dernière diapositive identifie les prochaines étapes, qui incluent la synchronisation des missions SIGINT et ITS, le financement, le développement de capacités de capteur et d'analyse conjointes et plus d'international l interopérabilité et coordination des politiques. Il a également, en contrepartie, des modifications législatives. Les modifications spécifiques ne sont pas mentionnées dans la diapositive.
Publication du document : 23 mars 2015
Date du document : 2009 ou 2010 (éventuellement ; document non daté officiellement)
Longueur du document : 46 pages
Article connexe : La boîte à outils de cyberguerre du Centre de la sécurité des communications révélée
Télécharger le document : Capacités du CSTC en matière de cybermenace : SIGINT et STI : une approche de bout en bout
Détection des cybermenaces
Résumé : ce document résume la manière dont le CST surveille les menaces à l'aide du système EONBLUE, parallèlement aux systèmes traditionnels de collecte de métadonnées. Ces derniers systèmes sont déployés sur des sites de sources spéciales (SSO), reposent sur un accès par mandat et exploitent les communications par satellite étrangères. Des capteurs nationaux et SIGINT (internationaux) sont utilisés pour détecter et atténuer les menaces, la Chine (c'est-à-dire SEEDSPHERE) étant utilisée comme exemple d'acteur menaçant récurrent.
OLYMPIA, le moteur de connaissances réseau de CSE, est utilisé pour analyser ou trier les données stockées dans un stockage en cluster à haut débit sur les sites de collecte de CSE afin de faciliter la collecte des réponses DNS et de dédupliquer les données.
La détection des Fast Flux Botnets, appelés CROSSBOW, repose sur des algorithmes de découverte de cibles déployés sur les sites CSE SSO ; les capteurs sur lesquels ces algorithmes s'exécutent peuvent être des serveurs CRUCIBLE qui sont des systèmes passifs à faible coût et à déploiement rapide qui utilisent des signatures de ciblage Top Secret/Special Intelligence dans des installations d'information compartimentées non sensibles (SCIF).
Publication du document : 23 mars 2015
Document daté : novembre 2009
Longueur du document : 14 pages
Article connexe : La boîte à outils de cyberguerre du Centre de la sécurité des communications révélée
Télécharger le document : Détection des cybermenaces
Relation de renseignement de la NSA avec la Nouvelle-Zélande
Résumé : Ce document résume l'état des relations entre la NSA et le Bureau de la sécurité des communications du gouvernement néo-zélandais (GCSB). Le GCSB a été contraint de consacrer davantage de ressources à l'audit de conformité à la suite de recommandations après avoir outrepassé son autorité pour aider les forces de l'ordre nationales, mais continue de se concentrer sur les priorités du gouvernement et des cinq yeux et est encouragé à poursuivre l'interopérabilité technique avec la NSA et d'autres nations FVEY. .
La NSA fournit au GCSB "le trafic brut, le traitement et les rapports sur les cibles d'intérêt commun, en plus des conseils techniques et des prêts d'équipement". Le GCSB fournit principalement à la NSA un accès à des communications qui resteraient autrement inaccessibles. Ces communications comprennent : la Chine, les communications diplomatiques japonaises/nord-coréennes/vietnamiennes/sud-américaines, les pays insulaires du Pacifique Sud, le Pakistan, l'Inde, l'Iran et l'Antarctique, ainsi que la police française et les activités d'essais nucléaires en Nouvelle-Calédonie.
Il convient de noter que GCSB est membre de SIGINT Seniors Pacific (SSPAC) (comprend l'Australie, le Canada, la France, l'Inde, la Corée, la Nouvelle-Zélande, Singapour, la Thaïlande, le Royaume-Uni et les États-Unis) ainsi que SIGINT Seniors Europe (SSEUR) ( comprend l'Australie, la Belgique, le Canada, le Danemark, la France, l'Allemagne, l'Italie, les Pays-Bas, la Nouvelle-Zélande, la Norvège, l'Espagne, la Suède, le Royaume-Uni et les États-Unis).
Publication du document : 11 mars 2015
Document daté : avril 2013
Longueur du document : 3 pages
Article connexe : Révélations de Snowden : la portée des espions néo-zélandais s'étend à travers le monde
Télécharger le document : Relations de renseignement de la NSA avec la Nouvelle-Zélande
Classification : TOP SECRET//SI//REL TO USA, FVEY
Agence auteur : NSA
Noms de code : Aucun
Procès-verbal du Forum de développement SIGINT (SDF)
Résumé : Ce document résume l'état du développement des signaux parmi les Five Eyes (FVEY). Il décrit d'abord les impératifs fondamentaux du groupe, notamment : s'assurer que les meilleures technologies sont identifiées pour être utilisées et liées à la capacité qu'elles apportent ; que la mise en forme de la NSA (ciblage des routeurs) s'améliore (tout en notant que pour le CSE et le GCSB, la mise en forme implique «l'engagement de l'industrie et la flexion de la collecte»); améliorer le modèle de collecte et d'analyse de la vie ; améliorer la géolocalisation des adresses IP qui couvre les domaines Internet, radiofréquence et GSM ; analyser l'impact de la convergence des systèmes et technologies de communication sur les opérations SIGINT.
Les problèmes de confidentialité étaient considérés comme étant sur le radar des groupes, au motif que "l'équipe de surveillance et de conformité de la NSA manquait de ressources et était surchargée". Ni le GCSB ni le DSD n'ont été en mesure de parrainer ou d'auditer les comptes d'analystes similaires à la NSA, et le CSTC a indiqué qu'il avait envisagé de financer des postes d'audit ; bien que rejetée à l'époque, la perspective a resurgi. À l'époque, les FVEY non-NSA réfléchissaient à la manière de mettre en place des comptes de "super-utilisateurs", où un personnel spécifique exécuterait des requêtes pour des homologues qui ne sont pas directement autorisés à exécuter des requêtes sur des bases de données sélectives.
Le GCSB, en particulier, développait sa première équipe d'analystes de réseau en octobre 2009 et devait prouver l'utilité de l'analyse de réseau afin d'obtenir du personnel supplémentaire pour prendre en charge ultérieurement les tâches d'exploitation de STATEROOM et de réseau informatique. En outre, le GCSB devait poursuivre ses travaux dans la région du Pacifique Sud, ainsi que l'expansion des efforts et des capacités d'accès au câble au cours d'une poussée d'un mois. Il y avait également un problème où 20% de la main-d'œuvre analytique du GCSB n'avait pas accès au XKEYSCORE de DSD, ce qui était un problème étant donné que le GCSB fournissait à la NSA des données brutes. La raison pour laquelle des outils externes sont nécessaires pour accéder aux données est que le personnel du GCSB n'a pas le droit d'accéder aux données néo-zélandaises.
Publication du document : 11 mars 2015
Document daté : 8-9 juin 2009
Longueur du document : 3 pages
Article connexe : Révélations de Snowden : la portée des espions néo-zélandais s'étend à travers le monde
Télécharger le document : procès-verbal du Forum de développement SIGINT (SDF)
Classification : TOP SECRET//COMINT//REL TO USA, AUS, CAN, GBR, NZL
Agence auteur : NSA
Noms de code : CABINE, XKEYSCORE
Open Source pour la cyberdéfense/progrès
Résumé : Cette entrée du wiki du GCHQ identifie les sources de données actuelles et futures pour les actions de cyberdéfense. Toutes les sources sont open source. À l'avenir, il est prévu d'intégrer des sources de renseignements sur les vulnérabilités, des données d'infrastructure en masse, ainsi qu'un ensemble de divers types de données (par exemple, quelles adresses .gov.uk doivent être protégées).
L'entrée wiki décrit GhostNet comme un "serveur ORB connu" sous l'en-tête "Bulk Infrastructure Data". GhostNet est une infrastructure de commandement et de contrôle principalement utilisée par la République populaire de Chine pour cibler des organisations telles que les ambassades étrangères et le gouvernement tibétain en exil. La recherche sur GhostNet a été menée par un ensemble d'institutions universitaires, dont le Citizen Lab de la Munk School of Global Affairs de l'Université de Toronto. Les boîtes de relais opérationnelles (ORB) sont utilisées par les agences SIGINT comme mandataires et permettent aux acteurs SIGINT de prendre des mesures que les victimes ne peuvent pas attribuer positivement à l'agence responsable. Il n'est pas clair d'après le document si le GCHQ ou d'autres agences Five Eyes prévoient d'utiliser l'infrastructure GhostNet comme leurs propres ORB ou s'ils ont classé les activités provenant de cette infrastructure comme probablement attribuables à des groupes de renseignement chinois.
Publication du document : 4 février 2015
Document daté du : Dernière mise à jour le 25 juin 2012
Longueur du document : 2 pages
Article connexe : les agences d'espionnage occidentales comptent secrètement sur les pirates pour obtenir des renseignements et de l'expertise
Télécharger le document : Open Source pour la cyberdéfense/Progress
Qui d'autre cible votre cible ? Collecte de données volées par des pirates
Résumé : Ce bulletin de la NSA décrit la découverte par le CST et le GCHQ de pirates qui exfiltrent les données de messagerie des cibles d'intérêt pour les agences. Le CSE et le GCHQ ont exploité des données volées par des pirates (nom de code INTOLERANT) et les ont utilisées pour enrichir les propres magasins de données des agences. Les victimes ciblées par les hackers, et donc exploitées par les agences SIGINT, appartenaient aux catégories suivantes : diplomates indiens et marine indienne, diplomates d'Asie centrale, défenseurs chinois des droits de l'homme, personnalités tibétaines pro-démocratie, militants ouïghours, représentant spécial européen en Afghanistan et photojournalistes indiens et le gouvernement tibétain en exil. Bien que l'on pense que les pirates sont parrainés par l'État, ni le CST ni le CCHQ ne peuvent attribuer positivement leurs actions à un État particulier. Les institutions canadiennes, américaines ou d'autres nations Five Eyes qui assurent la liaison avec les victimes peuvent avoir été informées du piratage, bien qu'il n'y ait aucune preuve que les victimes réelles aient été informées.
Publication du document : 4 février 2015
Document daté du : 5 juin 2010 (dernière mise à jour le 11 octobre 2012)
Longueur du document : 1 page
Article connexe : les agences d'espionnage occidentales comptent secrètement sur les pirates pour obtenir des renseignements et de l'expertise
Télécharger le document : Qui d'autre cible votre cible ? Collecte de données volées par des pirates
LA LÉVITATION et l'hypothèse FFU
Résumé : Ce jeu de diapositives du CST décrit l'efficacité du programme LEVITATION. LEVITATION est utilisé pour surveiller et identifier les personnes qui téléchargent des documents à partir de sites de téléchargement de fichiers gratuits (FFU). Au moment de la présentation, LEVITATION surveillait les URL des fichiers, ainsi que les numéros séquentiels, les noms des sélecteurs et les termes de recherche sur le Web. À l'avenir, le CSE a proposé d'intégrer les données GPS, les appareils proches des lieux, les lacunes de téléphonie, les informations sur les cibles des agences SIGINT étrangères et les données d'appels manqués. Le document ne précise pas en quoi l'intégration de ces données enrichirait le programme LEVITATION.
LEVITATION commence par le centre d'opérations Web (CWOC) du CSE identifiant les URL sur les sites FFU renvoyant vers des documents d'intérêt. Une source spéciale, nommée ATOMIC BANJO, fournit chaque jour 10 à 15 millions d'"événements de téléchargement" au CSE à partir de 102 sites FFU. Tous ces événements sont disponibles à l'aide d'OLYMPIA, le moteur de connaissances réseau de CSE. Le CSE examine les événements agrégés par rapport à la liste d'environ 2 200 URL du CWOC, qui génère environ 350 événements de téléchargement intéressants chaque mois. Il n'est pas clair si les données d'événement restantes sont purgées des bases de données du CST.
Les informations provenant d'événements de téléchargement intéressants sont ensuite traitées par CSE. L'Etablissement examine d'abord si l'adresse IP associée à l'événement de téléchargement a été vue cinq heures avant et après l'événement par les messages d'écoute de Five Eyes. Si l'adresse IP a été vue, les bases de données MARINA ou MUTANT BROTH sont interrogées pour corréler l'adresse IP avec des identifiants d'identification personnelle dans ces bases de données, identifiant ainsi la personne qui a probablement téléchargé le matériel en question. MARINA est une base de données NSA contenant des métadonnées interceptées et la base de données MUTANT BROTH du GCHQ contient des métadonnées similaires. Bien qu'il n'en soit pas question ailleurs, le CST note des succès issus de la surveillance des téléchargements de fichiers - puis de la diffusion de renseignements à des organisations telles que la CIA - pour la collecte de renseignements également.
Publication du document : 27 janvier 2014
Date du document : Inconnu (après mars 2012)
Longueur du document : 21 pages
Article connexe : CSE suit quotidiennement des millions de téléchargements : documents Snowden
Télécharger le document : LÉVITATION et l'hypothèse FFU
Faites attention à cet homme derrière le rideau : Découvrir les clients sur l'infrastructure CNE
Résumé : Ce document du CSE décrit comment l'Etablissement analyse ses cibles dans le cadre des opérations de Contre-Exploitation des Réseaux Informatiques (CCNE). Les opérations du CCNE s'appuient sur les données du groupe Computer Network Exploitation (CNE), du groupe Global Network Discovery et du groupe Cyber Counter Intelligence. Les analyses du CCNE identifient idéalement si une partie étrangère a déjà exploité un dispositif ou une infrastructure ciblée par le CSE et, si oui, quelle partie l'a fait.
Le CCNE s'appuie fortement sur les sorties de WARRIOR PRIDE, qui est la plateforme d'exploitation du réseau informatique du CSE. Ces sorties, nommées REPLICANTFARM, permettent au CCNE d'identifier si d'autres acteurs, technologies d'implant ou autres anomalies sont présentes sur l'appareil ou le système ciblé.3
Dans le cadre de ses opérations, le CCNE peut utiliser des infrastructures secrètes identifiées et cartographiées dans le cadre du système LANDMARK. L'infrastructure, appelée «boîtiers relais opérationnels» (ORB), permet au CCNE de nier de manière plausible ses activités.
L'essentiel de ce document est que le CCNE fournit une connaissance de la situation au CNE, dans la mesure où il alerte l'équipe du CNE d'une éventuelle cohabitation d'infrastructures communes. Le CCNE permet également au CSE d'identifier de nouveaux acteurs lors de la détection d'anomalies inédites et permet à l'Établissement de suivre les acteurs connus. En conséquence, le CCNE est en mesure de « déconflit » lorsqu'une infrastructure est envahie par plusieurs agences étatiques tout en fournissant des informations sur le métier et les outils utilisés par les acteurs étrangers découverts dans le monde.
Publication du document : 17 janvier 2015
Document daté : juin 2010
Longueur du document : 30 pages
Article connexe : La course aux armements numériques : la NSA prépare l'Amérique pour la bataille future
Télécharger le document : Faites attention à cet homme derrière le rideau : découvrez des extraterrestres sur l'infrastructure du CNE
CSE SIGINT Cyber Discovery : Résumé de l'effort actuel
Résumé : Ce jeu de diapositives CSE décrit l'intégration entre les unités Counter Computer Network Exploitation (CCNE), Global Network Discovery (GND) et Cyber Counterintelligence (CNT1). Alors que le CCNE et le GND sont chargés de la collecte des données, le CNT1 est chargé de l'analyse et du reporting des données découvertes.
Le CCNE utilise des plugins de WARRIOR PRIDE pour analyser les données envoyées par les appareils et systèmes exploités par le CSE. L'objectif du CCNE est de déterminer si un implant non CSE ou un autre acteur a déjà exploité l'appareil ou le système, ainsi que d'évaluer si des fichiers anormaux sont présents sur l'appareil ou le système, ou si un trafic de données anormal provient de l'appareil ou du système.
GND utilise plus de 200 capteurs déployés dans le monde pour suivre les menaces ; ce réseau de capteurs porte le nom de code EONBLUE. Les capteurs EONBLUE évoluent jusqu'à 10 Gbps de trafic de données et il était prévu d'augmenter les vitesses de détection à des débits de plusieurs 10 Gbps. Le trafic de données est analysé pour découvrir les cibles (en s'appuyant sur le plug-in de reconnaissance de machine SLIPSTREAM WARRIOR PRIDE), ainsi que pour suivre les cibles (nom de code SNIFFLE) et extraire les métadonnées du système de noms de domaine et HTTP.
Dans le cadre de travaux futurs, GND prévoyait de tester la capacité d'EONBLUE à envoyer des métadonnées dans une base de données XKEYSCORE localisée et, potentiellement, à partager des métadonnées avec les bases de données XKEYSCORE d'autres pays. XKEYSCORE est utilisé pour conserver les données de communication brutes et non sélectionnées. GND prévoyait également de partager les données CSE EONBLUE avec le programme EONBLUE du DSD. Curieusement, le GND dispose également d'un système de détection QUANTUM, qui est un système qui injecte des paquets de données dans le trafic réseau pour les activités d'exploitation du réseau informatique.
Le CNT1 analyse les données ou pistes fournies par les groupes CCNE et GND pour rechercher des pistes intéressantes et procède à des analyses des informations issues des autres groupes. Les données reçues peuvent provenir de sources spéciales, de données garanties et de seconde partie, d'analyses de logiciels malveillants et d'ingénierie inverse, ainsi que d'analyses médico-légales d'implants. L'analyse est utilisée pour produire des rapports sur les anomalies ou les activités constatées par le CCNE et le GND, ainsi que pour tenter d'attribuer les données ou les pistes à des acteurs spécifiques.
Publication du document : 17 janvier 2015
Document daté : novembre 2010
Document longueur : 22 pages
Article connexe : "La course aux armements numériques : la NSA prépare l'Amérique pour la bataille future"
Télécharger le document : CSEC SIGINT Cyber Discovery : résumé de l'effort actuel
Tendances TLS : une table ronde sur l'utilisation actuelle et les orientations futures
Résumé : Inspiré par ses collègues britanniques, le CSE a lancé des analyses du trafic SSL/TLS garanti4 qu'il capture. Ces analyses sont conçues pour identifier les tendances et permettre au CST de comprendre de manière proactive l'état du chiffrement en ligne. Sur le plan opérationnel, le projet permet aux analystes d'identifier les services connus utilisés par une cible et les changements dans l'utilisation de TLS par la cible. Le projet a également fourni des analyses plus larges du trafic TLS des sites.
Le jeu de diapositives tire des exemples du trafic garanti, bien qu'il comprenne également un organigramme de la réception du trafic SSL/TLS à partir d'une source spéciale. Le trafic source spécial, contrairement au trafic garanti, est transmis à OLYMPIA. OLYMPIA est le moteur de connaissance du réseau de CSE.
Les travaux futurs comprenaient la réalisation d'analyses de tendances sur le trafic de source spéciale. Ces travaux comprenaient également l'amélioration de la collaboration entre l'équipe chargée de l'analyse des tendances TLS et l'équipe d'exploration de données de l'établissement.
Publication du document : 28 décembre 2014
Document daté : Inconnu
Longueur du document : 15 pages
Article connexe : Prying Eyes : Inside the NSA's War on Internet Security
Télécharger le document : TLS Trends Une table ronde sur l'utilisation actuelle et les orientations futures
Détection automatique des NOC
Résumé : Les principaux réseaux d'entreprise gèrent leurs réseaux à partir des centres d'opérations réseau (NOC). Les analystes du GCHQ et du CSE ont évalué s'ils pouvaient mettre en œuvre NOCTURNAL SURGE dans OLYMPIA, le moteur de connaissances du réseau du CSE, lors d'une réunion en mars 2011 au Canada.
Les analystes utilisent NOCTURNAL SURGE pour trouver des NOC. Le système s'appuie sur des bases de données préexistantes pour identifier les "listes de contrôle d'accès". Le GCHQ puise dans la base de données 5-ALIVE et le CSE dans les bases de données HYPERION. Les listes de contrôle d'accès incluent les ports couramment utilisés que les administrateurs réseau utilisent pour initier des connexions TELNET ou SSH aux systèmes qu'ils administrent. Des informations de port similaires sont enregistrées pour les lignes de télétype virtuel (VTY); VTY est un terme hérité associé aux interfaces de ligne de commande des systèmes plus anciens (par exemple, les routeurs).
Après avoir passé au peigne fin les bases de données à l'aide de NOCTURNAL SURGE et identifié les NOC, les NOC peuvent être ciblés pour des opérations d'exploitation du réseau informatique. L'exploitation consiste à corréler les adresses IP des CNO avec les identifiants affiliés de la base de données MUTANT BROTH. MUTANT BROTH stocke les corrélations entre les adresses IP avec les cookies et d'autres données d'identification. Le système d'exploitation QUANTUM INSERT5 est utilisé pour cibler les administrateurs après que les analystes ont corrélé les données NOC avec les informations de MUTANT BROTH.
Publication du document : 13 décembre 2014
Document daté : Inconnu
Longueur du document : 25 pages
Article connexe : Operation Socialist : L'histoire intérieure de la façon dont des espions britanniques ont piraté la plus grande entreprise de télécommunications de Belgique
Télécharger le document : Détection automatisée des NOC
2e SCAMP au processus CSEC (partie d'AURORAGOLD)
Résumé : Le document SCAMP décrit les progrès réalisés dans l'amélioration et l'évaluation des capacités existantes du CST axées sur le renseignement électromagnétique. Le document ne traite pas explicitement de l'exploitation du réseau du CST ou des opérations de défense du gouvernement.
De nouveaux systèmes (IRASCIABLE RABBIT et TOYGRIPPE) ont été intégrés à OLYMPIA selon le document. Des progrès ont également été réalisés dans l'identification des réseaux privés virtuels d'intérêt pour la cryptanalyse. Le document SCAMP note qu'il y a eu des "progrès" dans le partage et l'analyse des documents d'itinérance internationale collectés par SIGINT (c'est-à-dire IR.21).
Le document spécifique au CSE fait partie d'une plus grande collection de documents liés au projet AURORAGOLD. AURORAGOLD conserve et collecte des informations sur les propriétés des réseaux de télécommunications mobiles afin que les analystes puissent comprendre l'état actuel des réseaux des systèmes mobiles mondiaux, les tendances de l'état de ces réseaux et les évolutions futures des réseaux. Une grande partie de ces informations est contenue dans les documents IR.21. Sont également inclus des sélecteurs d'e-mail et des métadonnées capturées avec le contenu des documents eux-mêmes. La page 38 des documents AURORAGOLD indique qu'il n'y avait pas eu d'analyse importante de l'infrastructure canadienne des télécommunications mobiles au moment où le document a été produit.
De manière significative, une diapositive liée à AURORAGOLD comprend des puces sur la recherche ou l'introduction de vulnérabilités dans les infrastructures mobiles pour une exploitation ultérieure (page 45). Il n'est pas clair s'il s'agit d'un flux de processus pour le groupe AURORAGOLD lui-même ; il est possible qu'une autre partie au sein de la NSA ou d'une autre agence soit responsable de ces aspects du renseignement électromagnétique ou du processus de développement.
Publication du document : 4 décembre 2014
Document daté : Inconnu
Longueur du document : 1 page (SCAMP) // 63 pages (AURORAGOLD)
Article associé : Opération AURORAGOLD : comment la NSA pirate les réseaux de téléphonie mobile dans le monde
Télécharger le document : SCAMP // AURORAGOLD
Partage du cryptage des opérations du réseau informatique
Information Cryptologique avec des partenaires étrangers
Résumé : Ce document de la NSA identifie l'étendue de la coopération de la NSA avec les organisations militaires et de renseignement d'autres nations. Le document de politique s'applique au partage d'informations sur l'exploitation et la défense des réseaux informatiques entre les agences de renseignement, telles que le CST, ainsi qu'au partage d'informations cryptologiques avec d'autres armées. Le Canada figure sur la liste des partenaires de « niveau A : coopération globale », avec l'Australie, la Nouvelle-Zélande et le Royaume-Uni.
Publication du document : 30 octobre 2014
Date du document : Inconnu (probablement le 23 novembre 2005 d'après la date de déclassification du 23 novembre 2029)
Longueur du document : 2 pages
Article connexe : El CNI facilitó el espionaje masivo de EEUU a España (ES) // L'Espagne est de connivence avec la NSA qui espionne ses citoyens, rapporte un journal espagnol
Télécharger le document : Partage d'informations cryptologiques sur les opérations de réseau informatique avec des partenaires étrangers
LANDMARK (Associé à HACIENDA)
Résumé : La présentation LANDMARK décrit le plan du CST visant à automatiser l'identification des appareils pouvant être utilisés comme boîtiers de relais opérationnels. Ces cases (c'est-à-dire les appareils et systèmes informatiques liés à Internet) sont utilisées par le CST et d'autres partenaires du renseignement pour fournir un niveau de non-attribution pour leurs activités en ligne. Les boîtiers sont également utilisés pour accéder aux réseaux ou au trafic réseau.
Les analystes utilisent LANDMARK pour exécuter des requêtes sur l'ensemble des données accessibles via le moteur de connaissances du réseau OLYMPIA de CSE. Ces requêtes révèlent si un réseau est déjà connu pour être vulnérable sur la base de données historiques collectées accessibles à l'aide d'OLYMPIA, ainsi que si un périphérique du réseau a déjà été compromis. Cette analyse prend moins de 5 minutes et a été intégrée dans OLYMPIA lui-même.
LANDMARK opère au sein ou dans le cadre d'un projet de renseignement international plus large nommé HACIENDA. HACIENDA a été développé par le GCHQ et les agences partenaires comprennent le CSE, la NSA et l'ASD. HACIENDA cartographie les contours d'Internet en effectuant des analyses de port des appareils connectés à Internet. Les adresses IP de ces appareils sont corrélées avec des informations de géolocalisation pour situer les adresses identifiées et leurs ports correspondants. Les partenaires du renseignement utilisent les informations d'HACIENDA pour mener des opérations d'exploitation de réseaux informatiques et de découverte de signaux.
Publication du document : 15 août 2014
Document daté : Inconnu
Longueur du document : 6 pages (LANDMARK) // 26 pages (le programme HACIENDA)
Article associé : NSA/GCHQ : Le programme HACIENDA pour la colonisation d'Internet
Télécharger le document : LANDMARK // HACIENDA et LANDMARK
Pays, territoires et individus tiers non ciblés
Résumé : Ce document publié par la NSA identifie les territoires contrôlés ou administrés par les États-Unis, l'Australie, le Royaume-Uni et la Nouvelle-Zélande. Le Canada est noté comme dépourvu de tout territoire au-delà de ses frontières nationales. Les territoires contrôlés ou administrés par les membres du réseau de renseignement Five Eyes ne peuvent pas être ciblés par d'autres membres de l'alliance du renseignement électromagnétique.
La deuxième page du document juxtapose les différentes exigences d'autorisation de ciblage du renseignement électromagnétique entre les cinq nations susmentionnées. Cette juxtaposition comprend les limites du CST à cibler les ressortissants au Canada, les ressortissants à l'étranger, les ressortissants étrangers au Canada et les ressortissants étrangers à l'étranger. Bien qu'il ne soit pas inclus dans le document, le CST peut cibler et cible effectivement les Canadiens lorsqu'il s'acquitte de son mandat d'aider les organismes fédéraux chargés de l'application de la loi et de la sécurité.
Publication du document : 30 juin 2014
Document daté du : 8 janvier 2007
Longueur du document : 2 pages
Article associé: La Cour a donné à la NSA une large marge de manœuvre en matière de surveillance, selon des documents
Télécharger le document : pays, territoires et individus tiers non ciblés
SNOWGLOBE : de la découverte à l'attribution
Résumé : La branche de contre-espionnage du CST a identifié un programme de renseignement basé sur un logiciel espion, nommé SNOWGLOBE, qui pourrait avoir été conçu par le service de renseignement français. SNOWGLOBE a été trouvé à l'aide du système de détection d'anomalies REPLICANTFARM qui fait partie de la plateforme d'exploitation du réseau informatique WARRIOR PRIDE du CST.
Diverses versions des implants de logiciels espions ont été découvertes depuis novembre 2009 (SNOWBALL 1, SNOWBALL 2 et SNOWMAN). Ensemble, ils composent le programme SNOWGLOBE. L'infrastructure du programme a été identifiée à l'aide du système de collecte passive du CSE (EONBLUE). Des infrastructures ont été trouvées aux États-Unis, au Canada, au Royaume-Uni, en République tchèque, en Pologne et en Norvège. L'infrastructure a été trouvée sur des services d'hébergement gratuits ainsi que sur des systèmes non libres existants. Le CST n'a pas pu déterminer si l'accès à ces systèmes impliquait l'acteur étranger utilisant un exploit ou un accès spécial à la source, ou une combinaison des deux.
Il a été découvert que le logiciel espion avait infecté des organisations iraniennes (par exemple, l'Organisation de l'énergie atomique), européennes (par exemple, l'Association financière européenne), africaines et canadiennes. Un organe de presse canadien de langue française était s également infecté par SNOWGLOBE. D'après les victimes, le CST ne croyait pas que SNOWGLOBE correspondait à un profil de cybercriminalité. Au moment où le CST a présenté ces conclusions, il ne pouvait pas attribuer positivement SNOWGLOBE ou une agence de renseignement française particulière, ni identifier la ou les personnes qui la dirigeaient, et le CSE ne savait pas non plus comment l'agence française avait eu accès aux parties non libres de son infrastructure.
REF.: https://christopher-parsons.com/resources/cse-summaries/
