Powered By Blogger

Rechercher sur ce blogue

Aucun message portant le libellé cyberespionnage. Afficher tous les messages
Aucun message portant le libellé cyberespionnage. Afficher tous les messages

dimanche 20 août 2023

Vous avez été archivés par le web

 

Vous avez été archivés par le web


C'est la WaybackMachine,................https://web.archive.org


C'est une moyenne de 2 a 3 captures par année,juste assez pour vous wouère;-)

https://web.archive.org/web/20230000000000*/http://teodulle.blogspot.com/

https://web.archive.org/web/20110228095328/http://teodulle.blogspot.com/

https://web.archive.org/web/20210218075011/https://docteo2.wordpress.com/

https://web.archive.org/web/20110228095326/http://lemondealenversnwd.blogspot.com/



Bien sûr il y a les softwares du groupe anonymous,qui ont été voler a NSA,comme XKeyscore,PRISM,Tempora etc 

https://www.aclu.org/sites/all/libraries/pdf.js/web/viewer.html?file=https%3A%2F%2Fwww.aclu.org%2Fsites%2Fdefault%2Ffiles%2Ffield_document%2FNSA%2520XKeyscore%2520Powerpoint.pdf

https://en.wikipedia.org/wiki/XKeyscore

Microsoft Windows est affecté par PRISM. Même en utilisant les outils logiciels que nous recommandons ici, votre vie privée peut être compromise par Windows. Le système d'exploitation de n'importe quel appareil peut malheureusement tirer parti de toute protection de la vie privée qu'un programme essaie de vous offrir. Ce dernier doit s'exécuter dans les limites du système d'exploitation après tout. Nous vous recommandons fortement de remplacer Windows par Linux ou BSD.Tout logiciel a un backdoor,donc le fabricant a accés et les hackers ,des ex-employés donc,comme chez les fournisseurs internet,ou des ex-policiers etc.

Mais c'est évident que depuis la nuit des temps, tout a été siphonné à votre insus,c'est le big data!

-

-Profileengine qui siphonne et copie  vos blogs etc. : https://docteo2.wordpress.com/category/profileengine/

-Cambridge analytica: https://www.frandroid.com/culture-tech/494669_cambridge-analytica-tout-comprendre-au-scandale-de-fuite-de-donnees-qui-secoue-facebook

-Juste pour dire Facebook a été syphonné de plus de 509 millions d'utilisateurs,selon ce site:

https://haveibeenpwned.com (inscrivez votre email et vous verrez vos probabilité de mots de passe volés )

Le logiciel utilisé pour faire fonctionner XKEYSCORE est-il réellement téléchargeable ?

Par exemple, si je voulais construire une base de données de taille moyenne avec des numéros de téléphone, des e-mails, des ips et tout le reste, puis-je trouver le logiciel utilisé par la NSA "XKEYSCORE" pour l'organiser ? Le logiciel a-t-il également été divulgué ou seulement les documents ? Je vois beaucoup de pages proposant le "code source" et des PDF mais pas de logiciel. Y a-t-il déjà eu une fuite ou est-ce la seule chose qui n'a pas été publiée?

Non.


Le logiciel XKEYSCORE pourrait sortir dans 35 ans.


J'ai pu trouver un script qui identifie les utilisateurs de Tor comme des extrémistes s'ils téléchargent Tails ou Tor mais pas le code source complet dans le court laps de temps que j'étais prêt à chercher. Répertorie également Linux Journal comme forum extrémiste, de sorte qu'ils peuvent être déraisonnablement biaisés et simplement déshumaniser la concurrence.


Chose intéressante, j'ai trouvé une adresse IP dans le code source qui relie actuellement à un serveur MIT.


Tandis que certains disent:

-Jusque-là, ce que vous recherchez, c'est un logiciel de couplage de données. Le gouvernement possède de grandes bases de données de logiciels accessibles au public qu'il a créés. La NASA et la NSA, sont deux qui viennent immédiatement à l'esprit. Ils pourraient avoir un cadre différent qui répondrait à vos exigences en matière de logiciel de couplage de données.

 Les policiers aussi: https://teodulle.blogspot.com/2020/02/les-nouvelles-methodes-de-la-police.html

on espionne les journalistes: https://teodulle.blogspot.com/2016/11/etes-vous-un-journaliste-la-police-qui.html

On peut s'acheter un Stingrays : https://teodulle.blogspot.com/2016/05/espionnage-en-vogue-par-tous-le.html

Ou un IMSI-catcher sur le net pas cher: https://teodulle.blogspot.com/2016/04/bogue-sur-videotron-mobile-hier.html

mardi 20 décembre 2022

Cette app de surveillance a volé les données de milliers d’iPhone

 

 

Cette app de surveillance a volé les données de milliers d’iPhone

Une gigantesque fuite de données vient d’être révélée par des chercheurs en cybersécurité.


Publié le

 

C’est une affaire pour le moins embarrassante pour les personnes concernées. Une application prévue pour espionner des utilisateurs d’iPhone à leur insu aurait laissé fuiter les données personnelles de leurs utilisateurs. Cette faille de sécurité concernerait en tout des dizaines de milliers de personnes.

60 000 victimes répertoriées sur Android et iOS

Ces services, aussi appelés stalkerwares, peuvent être facilement trouvés en ligne. Ils vous permettent d’installer un logiciel de surveillance sur le téléphone d’un proche : conjoint, enfant, collègue… pour l’espionner. Ils basculent alors l’intégralité des données personnelles de la personne visée, et par exemple, ses appels vocaux, messages écrits, localisations, photos, vidéos… Ces offres ont pignon sur rue, et nous vous en parlions dès 2019 dans un précédent article.

Ces pratiques sont dans la plupart des cas illégales, et en tout cas immorales. Il semble aussi qu’elles peuvent se retourner contre les utilisateurs de ces applications. En effet, lors d’une conférence donnée en ce mois de décembre à l’événement  “BSidesLondon”, les chercheurs Vangelis Stykas et Felipe Solferini ont tiré la sonnette d’alarme.

Ces outils d’espionnage comprennent des failles de sécurité majeures et les informations peuvent facilement arriver entre de mauvaises mains. Les experts citent notamment le cas de Xnspy qui compterait à ce jour 60 000 victimes depuis 2014 sur Android et iOS. Chez Apple, les victimes seraient potentiellement infectées en utilisant les informations d’identification iCloud. Les chercheurs préfèrent ne pas en dire plus pour ne pas faciliter la tâche des cybercriminels.

À noter que le service de cloud computing vient justement de bénéficier de l’ajout d’une fonctionnalité baptisée Advanced Data Protection qui permet le chiffrement de bout en bout sur des services tels que iMessage, notes, et Photos.


REF.: https://www.iphon.fr/post/cette-app-de-surveillance-a-vole-les-donnees-de-milliers-diphone
i-nfo.fr - App officielle iPhon.fr
Par : Keleops AG

mardi 6 décembre 2022

Cyberespionnage ,anonymat et moteur de recherche: avec LANDMARK,STATEROOM,Olympia du CSTC

 Cyberespionnage ,anonymat et moteur de recherche: avec LANDMARK,STATEROOM,Olympia du CSTC

 

L'agence d'espionnage canadienne crée un réseau mondial de piratage informatique

Un article paru dans le Globe and Mail a révélé que l'agence d'espionnage du Canada a développé et testé un logiciel qui peut secrètement s'infiltrer dans un ordinateur et s'en servir pour pirater d'autres ordinateurs.

L'article est basé sur du matériel ultra-secret qui a été divulgué au magazine d'informatique allemand c't. Le document intitulé «LANDMARK» ajoute d'autres éléments à la liste de vastes pouvoirs quasi illimités du Centre de la sécurité des télécommunications Canada (CSTC). Il souligne aussi à quel point l'agence d'espionnage est devenue un chef de file dans la surveillance électronique. En effet, la NSA américaine et les autres partenaires de l'alliance d'espionnage «Five Eyes» font souvent appel aux services du CSTC pour mener des opérations d'espionnage de masse contre leurs rivaux géopolitiques et la population mondiale.

Des diapositives multimédias qui ont été divulguées avec le reste du matériel montrent que le logiciel LANDMARK est utilisé pour créer un niveau d'anonymat pour les opérations de cyberespionnage du CSTC. En prenant le contrôle de l'ordinateur de quelqu'un et en l'utilisant pour s'infiltrer dans d'autres ordinateurs, le CSTC peut créer un vaste réseau secret de collecte de données pour masquer plus efficacement ses activités illégales et celles de ses partenaires du groupe «Five Eyes».

Une autre diapositive montre la portée du nouveau logiciel. En février 2010, le CSTC a donné la tâche à une vingtaine d'analystes de bâtir en huit heures une liste d'ordinateurs cibles, connus sous le nom de postes de relais opérationnel (Operational Relay Boxes – ORB). Plus de 3000 ordinateurs avaient été trouvés: un bon début selon le CSTC. En utilisant une version adaptée de leur moteur de recherche OLYMPIA, le CTSC peut parcourir une vaste quantité de données qui auraient été amassées de la sorte.

OLYMIA: C'est un autre programme géré par le CSTC qui prenait pour cible le ministère des Mines et de L'Énergie du Brésil(c'était une commande de la NSA des USA et du FiveEyes). Les programmes de surveillance nous étant présentés comme des outils incontournables du combat contre le terrorisme, un tel programme d'espionnage industriel devient alors peu justifiable. Olympia mettait sur écoute des fonctionnaires brésiliens qu'il traquait sur leurs appareils cellulaires et dont il surveillait les communications par courriel.

LANDMARK n'est pas dirigé en premier lieu contre les utilisateurs ordinaires qui ne disposent habituellement pas des outils nécessaires sur leur poste pour jouer le rôle d'intermédiaire dans ces attaques. Il est surtout conçu pour des opérations hautement délicates qui viseraient par exemple le système informatique d'un gouvernement ou d'une grande société d'informatique et de télécommunications, permettant au CSTC de ne pas révéler son identité.

Vers la fin de 2013, il a été révélé que le CSTC avait établi à l'étranger des «installations secrètes à la demande de la NSA» pour espionner «une vingtaine de pays de haute priorité». Ces informations coïncident avec les précédentes révélations concernant le programme STATEROOM à l'aide duquel le CSTC et ses partenaires de l'alliance «Five Eyes» mènent des opérations d'espionnage dans les pays étrangers à partir d'installations secrètes dans leurs bureaux diplomatiques. Il a aussi été révélé que le CSTC avait espionné le gouvernement brésilien au profit des sociétés canadiennes et aidé la NSA à espionner la rencontre du G20 à Londres en 2009 et le sommet du G20 à Toronto en 2010.

À la lumière de ces développements, le gouvernement conservateur de Harper est complètement hypocrite quand il accuse des rivaux comme la Chine ou la Russie de pratiquer l'espionnage d'État. Ces provocations politiques, qui ont été reprises par le Nouveau Parti démocratique et les libéraux, servent à affaiblir l'opposition dans la population canadienne aux préparatifs de guerre de l'OTAN contre ces pays.

Sur la diapositive qui est peut-être la plus révélatrice, on peut lire que la NSA a demandé l'aide du CSTC pour «accéder» au réseau GSM d'une société de téléphonie mobile. CSEC a été en mesure d'infiltrer le réseau en moins de cinq minutes en utilisant LANDMARK. Une autre diapositive semble indiquer que le CSTC aurait effectué le même genre de tâche pour le Siège des communications du gouvernement britannique (GCHQ).

Un ancien cadre de la NSA, Thomas Drake, a expliqué en partie pourquoi le CTSC est vu comme un partenaire précieux de la NSA: «Pensez aux accords ou aux relations dont le Canada profite à l'étranger, et dont les États-Unis sont exclus, et imaginez les opérations qui peuvent être menées sous le couvert de ces relations.»

L'union entre le CSTC et la NSA existe depuis des décennies. Au plus fort de la guerre froide, le CSTC était le partenaire «Five Eyes» qui avait la responsabilité d'espionner l'Union soviétique. Aujourd'hui, le CSTC et la NSA travaillent en pratique comme une seule entité. Selon un initié du CSTC, cette étroite collaboration s'effectue par «l'échange d'agents de liaison et de détenus, des projets communs, le partage d'activités et la volonté déterminée d'une collaboration plus étroite en cyberdéfense». De plus, le CSTC profite d'un vaste accès aux pouvoirs d'espionnage de la NSA, y compris sa technologie d'exploration de données et de décryptage. La NSA participe aussi au financement de projets conjoints.

La relation du CSTC avec la NSA lui permet de contourner les règlements constitutionnels sur l'interception des communications privées des Canadiens. Même si le CSTC n'a pas le droit de demander à la NSA d'espionner des Canadiens, rien ne l'empêche d'obtenir les données «non sollicitées» de communications privées qui auraient été obtenues par la NSA.

Le partenariat du CSTC avec la NSA fait partie de l'intégration de plus en plus complète de l'élite dirigeante canadienne dans la campagne mondiale militariste de l'impérialisme américain. Jugeant que ses propres intérêts impérialistes seront mieux servis à travers une alliance avec les États-Unis, l'élite canadienne participe à une guerre des États-Unis après l'autre depuis 1991, y compris la nouvelle guerre au Moyen-Orient qu'Obama a déclenchée sous le prétexte de combattre le groupe État islamique.

Le CSTC se vante qu'il a fourni des renseignements militaires vitaux aux Forces armées canadiennes durant la guerre néocoloniale en Afghanistan. Bien que cela ne soit pas publiquement admis, ses opérations d'espionnage sont sans aucun doute intégrées aux planifications de guerre du Pentagone à travers la NSA.

Étant donné l'intégration poussée du CSTC dans les opérations de la NSA, on peut supposer sans trop se tromper que le CSTC fait tout ce que la NSA fait, bien qu'à plus petite échelle.

Il a déjà été démontré que le gouvernement conservateur fédéral et le CSTC ont menti éhontément sur l'espionnage des Canadiens par le CSTC.

Durant huit mois, le gouvernement et le CSTC avaient fait de l'obstruction après que la publication d'un exposé a révélé que, depuis 2005, le CSTC espionnait systématiquement les métadonnées des communications électroniques des Canadiens (conversations par téléphone mobile, messages texte, utilisation d'Internet, etc.).

Mais en février, une nouvelle fuite a révélé que le CSTC espionnait les usagers des réseaux WiFi dans les principaux aéroports du pays. Le gouvernement a alors été forcé de changer de tactique, affirmant alors ouvertement qu'il avait le droit de collecter les «métadonnées» des communications faites par les Canadiens. (Lire à ce sujet: https://www.wsws.org/fr/articles/2014/fev2014/cana-f07.shtmlLe CSTC et le gouvernement Harper s’attribuent le droit d’espionner les Canadiens)

Le gouvernement défend cet espionnage illégal en prétendant que les informations obtenues grâce aux métadonnées sont inoffensives et qu'elles ne tombent donc pas sous l'interdiction de faire la collecte des communications privées des Canadiens.

Cet argument est fallacieux, comme l'ont répété des experts du droit et des défenseurs des droits civils à travers le monde. Les métadonnées contiennent des données importantes, y compris le nom, les informations d'un contact et des données sur l'emplacement de la personne, qui permettent de constituer un profil hautement détaillé d'une personne ou d'un groupe. Dans certains cas, ces données peuvent être plus révélatrices que le contenu même de la communication et peuvent permettre d'établir les affiliations politiques, les amis et les associés de la personne.

Les activités d'espionnage du CSTC, au Canada et à travers le monde, illustrent à quel point l'élite dirigeante canadienne a adopté la voie de la réaction. Tandis qu'elle tente de faire payer la classe ouvrière pour la crise du capitalisme, elle mène une politique impérialiste agressive et s'oriente vers des formes de pouvoir illégales et autoritaires.

(Article paru d'abord en anglais le 27 septembre 2014)

 

REF.:   https://www.wsws.org/fr/articles/2014/10/cstc-o14.html

Lévitation et le CSTC: Le gouvernement canadien espionne des millions de partageurs de fichiers(P2P)depuis 2012:

Lévitation et le CSTC: Le gouvernement canadien espionne des millions de partageurs de fichiers(P2P)depuis 2012:

 

Levitation (surveillance électronique)

Levitation est un projet de surveillance de masse par lequel le gouvernement canadien collecte des données de communication dans divers pays à travers l'Europe, l'Amérique du Nord et l'Afrique du Nord1.

Levitation est le nom de code du projet entamé depuis la mi-2012 par le Centre de la sécurité des télécommunications Canada (CSTC), l'équivalent canadien du National Security Agency (NSA) américain.

Les analystes du CSTC utilisent un programme informatique appelé Atomic Banjo 2 pour recueillir entre 10 et 15 millions de téléchargements (downloads) et téléversements (uploads) par jour sur les sites de téléchargement gratuit.

Un document confidentiel a été révélé au public concernant le projet Levitation le par Edward Snowden.

Le projet https://wikimonde.com/article/Levitation_%28surveillance_%C3%A9lectronique%29

Description

Le projet Levitation a été enclenché à la mi-2012 par le gouvernement canadien et permet de surveiller et de collecter des vidéos, des documents et de la musique en infiltrant les fournisseurs d'accès à Internet (FAI) 3.

Le CSTS est ainsi capable d'intercepter tous les téléchargements et les téléversements des utilisateurs Internet surveillés. De plus, comme le révèle le document confidentiel, le projet Levitation assure la surveillance de plus de 102 sites de téléchargement gratuit (en anglais, free file upload ou FFU), notamment le défunt site Megaupload. Parmi les 102 sites surveillés, seulement deux autres ont été révélés : RapidShare et SendSpace. Les sites de téléchargement gratuit sont couramment utilisés par le public pour partager et télécharger des vidéos, des photos et d'autres documents.

L'objectif du CSTC est de traquer et de surveiller des individus ayant des comportements suspects ou reliés à des activités terroristes dans le but de prévenir des attaques terroristes. Comme exemple, selon le document révélé par Snowden, un des sites surveillés est The Explosives Course 4, un manuel rédigé en anglais par Al-Qaïda sur la fabrication de bombes et d'engins explosifs. Cependant, dans son processus, le CSTC examine un grand nombre de données personnelles et privées d'internautes qui n'ont aucune connexion à des réseaux terroristes et qui n'ont rien commis d'illégal. Bien que le projet Levitation soit une initiative du gouvernement canadien, il recueille des informations sur des citoyens d'autres pays que le Canada 5.

Révélation par Edward Snowden

Le , Edward Snowden, un ex-consultant de la NSA, a révélé des informations sur le projet Levitation en collaboration avec le réseau de nouvelles canadien CBC et le site Internet The Intercept 6. Cette révélation est une parmi des dizaines d'autres faites par Snowden.

Diapositives

Voici quelques diapositives de la présentation du projet Levitation :

Réactions politiques

Parti libéral du Canada

Lors d'une conférence de presse le , le député, maintenant premier ministre du Canada, Justin Trudeau, a commenté les révélations du projet Levitation en demandant une surveillance accrue des responsables du projet : « Cette information, comme vous le savez, vient tout juste d'être dévoilée, Trudeau commente. Nous avons de sérieuses préoccupations sur la façon dont le gouvernement protège les citoyens canadiens. Et je pense qu'il est temps de parler de réglementation pour s'assurer que le gouvernement agisse de façon responsable trad 1. » 7.

Madame Joyce Murray, critique de la défense libérale, a déclaré que les lois canadiennes sur la collecte des données digitales n'étaient pas adéquates, ce qui permet au gouvernement d'utiliser les données recueillies comme bon lui semble, sans risque de sanction. Elle ajoute que le gouvernement doit mieux protéger la vie et les informations privées des citoyens canadiens8.

Politique internationale

À la suite des révélations sur le projet Levitation par Snowden, l'Assemblée parlementaire du Conseil de l'Europe a commenté les effets négatifs qu'ont les projets de surveillance électronique sur les droits de la personne. L'Assemblée était de plus très concernée sur les pratiques des projets de surveillance de masse et leur manque de régulation et de protection technique 9.

Méthode de recherche

Tamir Israël, avocat sur la politique Internet à l'Université d'Ottawa, explique que le projet Levitation utilise un algorithme pour suivre et identifier un individu qui a téléchargé ou consulté des documents suspects ou reliés à des activités à allure terroriste. Le programme surveille d'abord un fichier ou document à allure suspecte et lorsqu'un ordinateur accède à ce fichier le programme note l'adresse IP de l'appareil et entame une recherche plus avancée. L'adresse IP de l'appareil donne l'identité du fournisseur d'accès à Internet qui alimente cette adresse. Le CSTC contacte ce fournisseur pour connaître l'identité de la personne qui utilise l'adresse IP. Par la suite, le CSTC amasse des informations sur cette personne. Le gouvernement utilise aussi le programme Mutant Broth, une banque de données administrée par les espions électroniques britanniques du Government Communications Headquarters (GCHQ). En entrant l'adresse IP dans la banque de données, il est possible de voir les activités en ligne de l'appareil 5 heures avant l'accès au fichier et 5 heures après 10.

Les données privées, ainsi que toutes les activités en ligne de l'individu sont alors emmagasinées dans une banque de données pour des analyses plus poussées. Ces informations peuvent être échangées avec d'autres agences de surveillance gouvernementales ou privées.

Citation originale


  1. (en) « This story, as you know, is just coming to light, Trudeau said. We have very serious concerns about how this government is going about keeping Canadians safe. And I do think that it is the time to talk about proper oversight to make sure that government is behaving responsibly. »

Références


  • (en) Ryan Gallagher et Glenn Greenwald, « Canada Cast Global Surveillance Dragnet Over File Downloads », The Intercept,

  • (en) « Canadian Government Spies on Millions of File-Sharers », Torrent Freak,

  • (en) John Leyden, « Snowden Reveals LEVITATION Technique of Canada's Spies », The Register,

  • (en) Amber Hildebrandt, Michael Pereira, Dave Seglinis et CBC News, « CSE Tracks Millions of Downloads Daily: Snowden Documents », CBC NEWS, 27 janvier 2015, 3:12 pm et

  • (en) « CSE: What do we Know About Canada's Eavesdropping Agency? », CBC NEWS, 14 juin 2013, 5:30 pm et

  • (en) « Snowden Files Reveal CSE Project Levitations Threatens Privacy », Surveillance in Canada,

  • (en) « Project Levitation and your Privacy: Politicians Call for Cybersurveillance Oversight », CBC NEWS, 28 janvier 2015, 7:09 pm et

  • (en) Amber Hildebrandt, Michael Pereira, Dave Seglins et CBC News, « CSE's Levitation Project: Expert Says Spy Agencies 'Drowning in Data' and Unable to Follow Lead », CBC NEWS, 29 janvier 2015, 5:00 am et

  • (en) Pieter Omtzigt, « CSE's Levitation Project: Expert Says Spy Agencies 'Drowning in Data' and Unable to Follow Lead », Parliamentary Assembly; Council of Europe,

    1. (en) « GCHQ Appendix », The Intercept

    Annexes

    Articles connexes

    Autres programmes de surveillance :

    De nouvelles révélations du dénonciateur Edward Snowden ont révélé que la principale agence de surveillance électronique du Canada espionnait des millions de téléchargements de partage de fichiers à partir de certains des sites les plus populaires au monde. Plus de 100 sites, dont Megaupload de Dotcom, ont été régulièrement surveillés à la recherche d'extrémistes.

    Ëtre espionné surveillé en ligne est une réalité largement reconnue par des millions de partageurs de fichiers dans le monde. D'innombrables titulaires de droits, équipes anti-piratage, sociétés d'analyse et autres parties intéressées parcourent chaque jour BitTorrent et d'autres réseaux P2P, espionnant les téléchargements et collectant des données.

    Alors que la nature publique de ces réseaux est parfaite pour ceux qui cherchent à écouter, les personnes qui utilisent des sites d'hébergement de fichiers ont souvent l'impression que leurs transferts ne peuvent pas être surveillés par des tiers puisque les transactions se déroulent en privé d'un utilisateur à un site via HTTP.

    Aujourd'hui, cette hypothèse a été complètement renversée par les révélations selon lesquelles la principale agence de surveillance électronique du Canada espionnait des millions de téléchargements à partir de plus de 100 sites de partage de fichiers.

    Dirigé par le Centre de la sécurité des télécommunications (CST), l'équivalent canadien de la NSA, et dont le nom de code est LEVITATION, le projet dévoile la surveillance généralisée d'Internet effectuée par les autorités canadiennes.

    Un document obtenu par le dénonciateur américain Edward Snowden et communiqué à CBC News montre que, dans le but de traquer les extrémistes, l'agence d'espionnage surveille jusqu'à 15 millions de téléchargements effectués par des utilisateurs du monde entier chaque jour.

    cse-ffu

    Selon le document de 2012, 102 plateformes de partage de fichiers étaient surveillées par le CST. Seuls trois ont été nommés - RapidShare, SendSpace et le désormais disparu Megaupload. Aucun des sites n'était tenu de coopérer avec le gouvernement canadien puisque le CST avait ses propres capacités spéciales.

    "Une opération secrète distincte du CSE nommée ATOMIC BANJO obtient les données directement à partir des câbles Internet qu'elle a exploités, et l'agence passe ensuite au crible l'adresse IP unique de chaque ordinateur qui a téléchargé des fichiers à partir des sites Web ciblés", analyse The Intercept de les notes du document.

    Une fois récoltées, ces adresses IP sont croisées avec de grandes quantités de données supplémentaires déjà interceptées par la NSA des États-Unis et son homologue britannique, le GCHQ. Les recherches ultérieures ont la capacité d'afficher une liste d'autres sites Web visités par ceux qui téléchargent à partir de sites d'hébergement de fichiers.

    D'autres associations peuvent ensuite être faites avec des comptes Facebook ou Google (via les cookies d'analyse de Google) qui ont le potentiel de créer des liens vers des noms, des adresses et d'autres données personnelles. C'est un mélange puissant, mais apparemment conçu pour éliminer un petit nombre de fichiers de millions d'événements quotidiens.

    quelquesdocs

    Selon les documents de LEVITATION, le système a la capacité de suivre les téléchargements dans les pays d'Europe, du Moyen-Orient, d'Afrique du Nord et d'Amérique du Nord.

    En vertu de la loi, le CST n'est pas autorisé à espionner les Canadiens, mais les adresses IP appartenant à un serveur Web à Montréal figuraient dans une liste de téléchargements "suspects". Le CSE a également surveillé les téléchargements effectués par des citoyens situés dans des pays étroitement alliés, notamment les États-Unis, le Royaume-Uni, l'Allemagne et l'Espagne.

    « Le CST a clairement pour mandat de recueillir des renseignements électromagnétiques étrangers afin de protéger le Canada et les Canadiens contre diverses menaces à notre sécurité nationale, y compris le terrorisme », a déclaré le porte-parole du CST, Andrew McLaughlin, à CBC.

    Bien qu'il puisse être réconfortant pour les Canadiens d'apprendre que le gouvernement ne s'intéresse qu'à un petit nombre de fichiers échangés à l'extérieur des frontières du pays, une surveillance de masse de ce type a toujours le potentiel de déconcerter lorsque la mission se lève.

     

     

    REF.:   https://torrentfreak.com/canadian-government-spies-on-millions-of-file-sharers-150128/

    jeudi 1 décembre 2022

    Quand les ultrasons désanonymisent les utilisateurs de Tor

     

     

     

    Quand les ultrasons désanonymisent les utilisateurs de Tor

     

     

    Des chercheurs ont trouvé une méthode s’appuyant sur les ultrasons inclus dans les publicités ou le code des pages web pour désanonymiser les utilisateurs de Tor.Cette technique se sert d'un dispositif externe a l'utilisation de Tor ,par exemple un cellulaire posé sur la table a côté d'un ordinateur sur lequel Tor est installé,pour compromettre l'anonymat d'un utilisateur!

    Comment fonctionne cette technique:

    Des ultrasons sont émis par certaines annonces a la radio et a la télévision;imperceptibles par l'oreille humaine,ces sons a très haute fréquence sont captés par des applications particulières installées sur le téléphone cellulaire en question.Un pont entre les différents canaux de communication est établi: une annonce vue a la télévision peut alors être poussée dans une application sur le téléphone,en fonction de la cible marketing désirée par l'entreprise a l'origine de la publicité.(ndlr. C'est certain que Google s'est déja servit de ça ainsi que le FBI !!!)

    Les moyens de désanonymiser les utilisateurs du réseau Tor se multiplient, comme le montre « la faille publiquement inconnue » trouvée par le FBI. La dernière en date a été présentée par six chercheurs lors du Chaos Communication Congress (CCC) à Hambourg à la fin décembre 2016. Et la méthode est pour le moins originale, car elle repose sur le traçage des ultrasons.

    Plus exactement, elle se sert de la technologie nommée uXDT (Ultrasonic‍ cross-device tracking‍). Les annonceurs cachent dans leurs publicités des ultrasons. Quand la publicité est diffusée sur une télévision, sur une radio ou en ligne, elle émet des ultrasons pouvant être captés à proximité par les micros des ordinateurs ou des smartphones. Ces terminaux peuvent ensuite interpréter les instructions cachées des ultrasons via une application. En général, elles demandent d’effectuer un ping vers le serveur de l’annonceur. Objectif de ce dernier avec l’uXDT : connaître les liens d’une personne avec l’ensemble de ses terminaux et proposer de la publicité ciblée.

    Un piège redoutable

    Mais cette technologie peut-être un piège redoutable pour les utilisateurs de Tor. Vasilios Mavroudis, un des six chercheurs cités précédemment, a détaillé une attaque de désanonymisation sur les utilisateurs de Tor en obtenant in fine la vraie adresse IP et d’autres détails. Première étape de l’attaque, amener l’utilisateur du réseau Tor vers une page web contenant des publicités émettant des ultrasons ou une page web intégrant un code JavaScript caché qui force le navigateur à émettre des ultrasons via l’API Audio HTML5.

    attaque-ultrason

    Si un smartphone est à proximité et qu’il dispose d’applications supportant uXDT, une agence gouvernementale ou un Etat pourrait assigner une liste d’annonceurs à fournir les détails sur les utilisateurs.

    Des attaques multiples pour forcer les ultrasons

    Et les tests réalisés par l’équipe de Vasilios Mavroudis sont concluants. En analysant le trafic émis par les ultrasons vers le smartphone, elle a pu découvrir l’adresse IP réelle de l’utilisateur, les coordonnées de géolocalisation, le numéro de téléphone, l’ID d’Android, le code IMEI et l’adresse MAC du PC.

    Les spécialistes ont également trouvé d’autres moyens pour mener à bien leurs attaques contre les utilisateurs de Tor. Ainsi, des pirates pourraient se servir de failles XSS pour injecter du code JavaScript malveillant au sein de pages web vulnérables. Autre technique, créer un faux nœud de sortie Tor à travers une attaque de type homme du milieu (MiTM) pour injecter du code et forcer à l’émission d’ultrasons.

    Des techniques d’atténuation

    Le FBI pourrait donc s’intéresser à cette technologie des ultrasons dans le cadre des enquêtes pour lutter contre la pédopornographie, le trafic de drogue, le terrorisme et autres crimes. Surtout que l’uXDT n’est pas régulé. La FTC évalue actuellement l’impact des publicités dotées d’ultrasons. Les chercheurs proposent des moyens pour atténuer les risques.

    Ils ont par exemple créé une extension pour le navigateur Chrome baptisé SilverDog. Elle se charge de filtrer les fonctions audio HTML5 et de supprimer les ultrasons. Petit hic, l’extension ne supprime pas les sons joués dans Flash et n’est pas compatible avec le navigateur Tor (basé sur Firefox).

    chrome-extension

    Autre technique, la création d’une règle de permission sur Android pour savoir quelles applications peut écouter des ultrasons. Enfin, les chercheurs militent pour la création d’un standard pour ces technologies s’adossant aux ultrasons (uXDT, Beacons audio, etc.) et d’instaurer des bonnes pratiques. Le chemin sera long…

    A lire aussi :

    Mozilla corrige une faille critique touchant Tor dans Firefox

    Le projet Tor avance sur un Tor Phone

     

    Des experts en sécurité ont découvert dans 234 applications des éléments capables de traquer les utilisateurs via des signaux inaudibles émis par des balises.

    Des chercheurs de l’université technique de Braunschweig, en Allemagne, ont découvert que 234 applications présentes dans le Play Store de Google utilisent des traqueurs capables d’écouter des sons inaudibles pour l’oreille humaine. Ces ultrasons, captés en arrière-plan à l’insu des utilisateurs, par les micros des smartphones, peuvent être émis lors de la diffusion d’une publicité à la télévision par exemple ou par des balises beacon.

    Cette technologie, qui se base sur le code SilverPush, est principalement utilisée à des fins de marketing, pour analyser le visionnement d’une annonce publicitaire et les habitudes en matière de shopping. Mais les applications pourraient aussi servir à établir l’identité d’une personne à travers plusieurs appareils, à tracer la géolocalisation d’un utilisateur et même à supprimer l’anonymat des services recourant au Bitcoin ou le réseau Tor, selon les chercheurs.

    La localisation ainsi trouvée

    «Deux applications revendiquent entre un et cinq millions de téléchargements et d’autres affichent entre 50 000 et 500 000 téléchargements», expliquent les experts. «Nos résultats confirment nos préoccupations en matière de vie privée: nous avons détecté des balises à ultrasons dans divers contenus multimédia web et avons détecté des signaux utilisés pour le suivi de la localisation dans quatre des 35 magasins visités dans deux villes européennes», affirment les chercheurs qui ont présenté leurs résultats au Symposium européen de l’IEEE, à Paris, fin avril.

    Interrogé par Ars Technica, Hitesh Chawla, créateur de SilverPush, se dit toutefois surpris par la recherche. Il affirme que sa firme a abandonné le marché du tracking publicitaire à la fin 2015. «Chaque fois qu’un nouveau combiné est activé avec notre SDK (kit de développement logiciel), nous obtenons un ping sur notre serveur. Nous n’avons reçu aucune activation depuis six mois».

    (L’essentiel/man)https://elitepresse.com/actualites/des-millions-de-mobiles-espionnes-par-ultrasons/

    Source : lessentiel.lu

     -Un brouilleur ultrason pour 1,500 Euro, https://www.espion-on-line.com/brouilleurs/4-brouilleur-ultrasons-compact-et-haut-parleur-externe.html

    https://spytronic.com/products/generateur-de-bruit-ultrason-acoustique

    REF.:   https://www.silicon.fr/quand-les-ultrasons-desanonymisent-les-utilisateurs-de-tor-166514.html

    dimanche 27 novembre 2022

    Cyberespionnage: Créé par les Five Eyes, avec pour nom de code Eonblue

     

     Cyberespionnage: Créé par les Five Eyes, avec pour nom de code Eonblue

    Selon https://crypto.quebec/a-propos/ , EONBLUE est une plateforme de détection de cybermenaces gérée par le CSTC -  Centre de la sécurité des télécommunications du Canada,ce programme serait en service depuis 2002. ''Hello Canada'' ;-).

    Un système créé par les Five Eyes, avec pour nom de code Eonblue, était utilisé pour surveiller les utilisateurs de Blackberry en Arabie saoudite. Parmi tous les pays où se sont déroulées des manifestions en lien avec le Printemps arabe, l’Arabie saoudite a été la plus rapide pour mater la révolte dans ses rues de façon brutale. L’intérêt des Five Eyes pour les télécommunications saoudiennes pendant l’opération Irritant horn pourrait indiquer qu’une telle surveillance servait deux objectifs. La NSA et ses partenaires, dans un acte de guerre de l’information, auraient pu , d’une part piloter des manifestants dans leur soulèvement antigouvernemental en Égypte, en Libye, en Syrie et dans d’autres pays, via des opérations MITM, et d’autre part avertir les autorités saoudiennes au sujet des manifestations qui se préparaient chez elles.

     Résumés SIGINT canadiens: Tout sur EONBLUE!!!


    Le Centre de la sécurité des télécommunications (CST)1 est l'organisme de renseignement électromagnétique étranger du Canada. Le CSE fonctionne depuis la Seconde Guerre mondiale. Bien qu'il existe depuis aussi longtemps et qu'il fonctionne en vertu d'un mandat législatif depuis 2001, ce n'est que lorsque les journalistes publient des articles basés sur des documents fournis pour la première fois par Edward Snowden et d'autres dénonciateurs que les Canadiens ont commencé à prêter attention aux actions de l'agence. Les histoires ont révélé la mesure dans laquelle le CST s'est associé à d'autres agences de renseignement occidentales ainsi que les types d'activités auxquelles le CST a lui-même participé.

    Le CST est chargé de remplir une série de mandats conformément au paragraphe 273.64(1) de la Loi sur la défense nationale. Elles sont:

        acquérir et utiliser des renseignements électromagnétiques étrangers conformément aux priorités du gouvernement du Canada en matière de renseignement
        aider à protéger l'information électronique et les infrastructures d'information importantes pour le gouvernement du Canada; et
        fournir une assistance technique et opérationnelle aux agences fédérales chargées de l'application de la loi et de la sécurité, notamment en les aidant à obtenir et à comprendre les communications collectées sous les autorités légales de ces agences.

    Cette page rassemble actuellement des documents divulgués liés aux opérations du CST ainsi que les rapports annuels publiés par le Bureau du commissaire du Centre de la sécurité des télécommunications. À l'avenir, il comprendra également les documents de procédure du CST qui ont été rendus publics en vertu de la législation sur l'accès à l'information et la protection des renseignements personnels (AIPRP). Bien que j'aie essayé de rassembler de manière exhaustive ces documents, il est tout à fait possible que j'en ai raté certains ; si vous avez un document principal et souhaitez que je l'ajoute aux listes ci-dessous, veuillez me contacter avec le document et quelques informations à ce sujet. Un référentiel plus complet des documents divulgués par Snowden de toutes les agences est disponible dans les archives de surveillance Snowden.
    Table des matières

    Documents du CST divulgués

        Les hackers sont aussi des humains : les cybermeneurs mènent aux Cl
        CROSSHAIR - Des partenaires étrangers comblant les lacunes HF / DF pour les États-Unis
        Tradecraft d'analyse de réseau synergique : équipe d'avancement de réseau Tradecraft (NTAT)
        CASCADE : architecture conjointe de cybercapteurs
        Activités de R&D sur la défense des cyberréseaux
        Découverte des cybermenaces ITS/N2E du CSTC
        Capacités du CSTC en matière de cybermenace : SIGINT et STI : une approche de bout en bout
        Détection des cybermenaces
        Relation de renseignement de la NSA avec la Nouvelle-Zélande
        Procès-verbal du Forum de développement SIGINT (SDF)
        Open Source pour la cyberdéfense/progrès
        Qui d'autre cible votre cible ? Collecte de données volées par des pirates
        LA LÉVITATION et l'hypothèse FFU
        Faites attention à cet homme derrière le rideau : Découvrir les clients sur l'infrastructure CNE
        CSE SIGINT Cyber ​​Discovery : Résumé de l'effort actuel
        Tendances TLS : une table ronde sur l'utilisation actuelle et les orientations futures
        Détection automatique des NOC
        2e SCAMP au processus CSEC (partie d'AURORAGOLD)
        Partage d'informations cryptologiques sur les opérations de réseau informatique avec des partenaires étrangers
        LANDMARK (Associé à HACIENDA)
        Pays, territoires et individus tiers non ciblés
        SNOWGLOBE : de la découverte à l'attribution
        Analyse du profilage IP et impacts de la mission
        Briefing thématique mobile
        Relation de renseignement de la NSA avec le Centre de la sécurité des télécommunications Canada (CSTC)
        INFORMATEUR SANS FRONTIÈRES Documents (Collection)
        Document de travail de Cheltenham (fragments)
        Et ils ont dit aux titans : faites attention aux olympiens dans la maison
        La NSA apporte son soutien aux prochains sommets du G8 et du G20 au Canada
        Guide CABINE (NSA)
        Protocole d'accord (MOU) entre l'Agence de sécurité nationale/Service central de sécurité (NSA/CSS) et l'unité nationale israélienne SIGINT (INSU) concernant la protection des personnes américaines

    Documents de procédures du CST

        À venir

    Rapports du Bureau du commissaire du Centre de la sécurité des télécommunications

        Rapport annuel 2016-2017
        Rapport annuel 2015-2016
        Rapport annuel 2014-2015
        Rapport annuel 2013-2014
        Rapport annuel pour 2012-2013
        Rapport annuel pour 2011-2012
        Rapport annuel pour 2010-2011
        Rapport annuel pour 2009-2010
        Rapport annuel pour 2008-2009
        Rapport annuel pour 2007-2008
        Rapport annuel pour 2006-2007
        Rapport annuel pour 2005-2006
        Rapport annuel pour 2004-2005
        Rapport annuel pour 2003-2004
        Rapport annuel pour 2002-2003
        Rapport annuel pour 2001-2002
        Rapport annuel pour 2000-2001
        Rapport annuel pour 1999-2000
        Rapport annuel pour 1998-1999 (externe)
        Rapport annuel pour 1997-1998 (externe)
        Rapport annuel pour 1996-1997 (externe)

    Notes de bas de page
    Documents du CST divulgués

    Les documents du CST sont répertoriés avec les documents les plus récemment publiés vers le haut de la liste. J'ai essayé de rassembler la version la plus complète des documents et je n'ai inclus que les entrées où un document a été rendu public.

    Dans la mesure du possible, j'ai identifié la date de création des documents et fourni un résumé des aspects du document pertinents pour le CST. J'ai noté la longueur des documents mais, dans le processus, j'exclus les informations ajoutées par les organisations de défense des droits aux documents sources (par exemple, leurs notes sur la source originale du document). J'ai également inclus un lien vers l'article qui a été associé pour la première fois au document.

    Les documents étaient souvent produits par les partenaires les plus proches du CST qui, collectivement, forment le réseau de renseignement « Five Eyes ». Ce réseau comprend le CSE, la National Security Agency (NSA), le Government Communications Headquarters (GCHQ), l'Australian Signals Directorate (ASD)2 et le Government Communications Security Bureau (GCSB)).

    Tous les documents sont téléchargeables sur ce site. Bien que j'héberge les documents, ils ont tous été publiés pour la première fois par une autre partie.
    Les hackers sont aussi des humains : les cybermeneurs mènent aux Cl

    Résumé : Cet ensemble de diapositives présente une méthode utilisée par le CST pour exposer la structure de gestion et les opérateurs derrière les activités d'exploitation de réseaux informatiques (CNE), à savoir l'utilisation de tâches d'infrastructure passive et le chaînage de contacts. En surveillant l'infrastructure qui a été exposée par des logiciels malveillants ou la diffusion de contenu pour des sessions réseau anormales, le CSE a ensuite été en mesure de retracer les opérations MAKERSMARK (c'est-à-dire russes).

    Bien que les systèmes moins attribués de MAKERSMARK puissent rendre difficile la traçabilité efficace des opérateurs, ceux-ci ont été mal utilisés et les opérateurs ont exposé des informations associées à leur vie personnelle. De plus, l'organisation de développement responsable des systèmes moins attribués de MAKERSMARK a été infectée par crimewave et le CSE (ou d'autres agences de renseignement amies) a donc pu collecter des informations qui étaient exfiltrées vers des organisations criminelles.

    Le diaporama se termine par l'avertissement qu'il est important de suivre les pistes de contre-espionnage, rapidement, car les opportunités ne durent pas éternellement. De plus, il y avait un avertissement qu'à mesure qu'un programme CNE mûrit, comme celui géré par MAKERSMARK, la sécurité opérationnelle associée au programme mûrira de la même manière.

    Publication du document : 2 août 2017
    Document daté : Post 2009
    Longueur du document : 13 pages
    Article connexe : La Maison Blanche déclare que les pirates informatiques russes sont trop bons pour être pris, mais un partenaire de la NSA les a traités de "crétins"
    Télécharger le document : Les pirates sont aussi des humains : les cybermeneurs mènent à des clients potentiels
    Classification : TS//SI/REL TO CAN, AUS, GBR, NZL et USA
    Agence auteur : CSE
    Noms de code : MAKERSMARK
    CROSSHAIR - Des partenaires étrangers comblant les lacunes HF / DF pour les États-Unis

    Résumé : Ce bref article identifie le nombre de ressources tierces de radiogoniométrie haute fréquence (HF/DF), ainsi que les tiers contributeurs, qui composent collectivement le réseau CROSSHAIR avec les actifs du gouvernement américain. Le nom de couverture CROSSHAIR fait référence à un projet qui a regroupé toutes les ressources HF/DF du Service Cryptologic Element (SCE) des États-Unis et permet l'opérabilité des données avec des partenaires.

    Le Canada possédait quatre sites au moment de la rédaction, la Grande-Bretagne six, et l'Australie et la Nouvelle-Zélande un chacun. Des tiers, dont l'Autriche, le Danemark, l'Éthiopie, la Hongrie, Israël, l'Inde, l'Italie, le Japon, la Jordanie, la Corée, les Pays-Bas, la Norvège, le Pakistan, l'Arabie saoudite, la Suède et Taïwan, ont également partagé avec la NSA et, dans certains cas, directement les uns avec les autres. La NSA reconnaît, dans ce document, que sans les collaborateurs tiers, la NSA manquerait d'un réseau mondial pour la radiogoniométrie.

    Publication du document : 24 avril 2017
    Document daté du : 25 février 2005
    Longueur du document : 1 page
    Article connexe : Le Japon a conclu des accords secrets avec la NSA qui ont élargi la surveillance mondiale
    Télécharger le document : CROSSHAIR — Des partenaires étrangers comblant les lacunes HF/DF pour les États-Unis
    Classification : TOP SECRET//SI//TK//REL TO USA, AUS, CAN, GBR, NZL
    Agence auteur : NSA
    Noms de code : CROSSHAIR
    Tradecraft d'analyse de réseau synergique : équipe d'avancement de réseau Tradecraft (NTAT)

    Résumé : Ce jeu de diapositives présente certaines des activités et des réussites de la Network Tradecraft Advancement Team (NTAT). Les diapositives se concentrent sur la façon de développer et de documenter le métier qui est utilisé pour corréler les données téléphoniques et Internet. Deux ateliers distincts sont discutés, l'un en 2011 et l'autre en 2012. Les résultats de l'atelier comprenaient l'identification des données potentiellement convergées (entre les données de téléphonie et Internet) ainsi que la géolocalisation des serveurs d'applications de téléphonie mobile. Une analyse commune d'identification de la passerelle mobile a été adoptée par trois agences, dont DSD. Le NTAT avait également adopté le système de documentation de l'artisanat CRAFTY SHACK au cours de ces ateliers.

    Dans une expérience, baptisée IRRITANT HORN, les analystes ont cherché à savoir s'ils pouvaient identifier des connexions entre un pays potentiellement « révolutionnaire » et des serveurs d'applications mobiles. Ils ont corrélé avec succès les connexions avec les serveurs d'applications, ce qui a ouvert la possibilité de mener des attaques Man in the Middle ou d'effectuer des opérations sur les appareils mobiles, ainsi que la possibilité de récolter des données en transit et au repos à partir des appareils. Et le profilage des serveurs d'applications mobiles, il semble qu'EONBLUE ait été utilisé pour collecter des informations sur une société nommée Poynt ; l'application de cette société était utilisée par des utilisateurs de Blackberry, et les serveurs présentés étaient situés à Calgary, Alberta (Canada).

    Les agences ont réussi à trouver des vulnérabilités dans UCWeb, qui s'est avérée divulguer IMSI, MSISDN, IMEI et d'autres caractéristiques de l'appareil. Ces vulnérabilités ont été utilisées pour découvrir une cible et il a été déterminé que les vulnérabilités pourraient permettre à une agence SIGINT de fournir des logiciels malveillants à la cible. Un "microplugin" pour XKeyscore a été développé afin que les analystes puissent rapidement faire apparaître le matériel SIGINT lié à UCWeb. (REMARQUE : Le Citizen Lab a analysé les versions ultérieures d'UCWeb et a trouvé des vulnérabilités qui ont ensuite été corrigées par l'entreprise. Pour en savoir plus, voir : « A Chatty Squirrel : Privacy and Security Issues with UC Browser. »)

    Document publié : 21 mai 2015
    Document daté : 2012 ou plus tard
    Longueur du document : 52 pages (diapositives et notes)
    Article connexe : les agences d'espionnage ciblent les téléphones mobiles et les magasins d'applications pour implanter des logiciels espions
    Télécharger le document : Synergiser l'analyse de réseau Tradecraft : Network Tradecraft Advancement Team (NTAT)
    Noms de code mentionnés : ATLAS, ATHENA, BLAZING SADDLES, CRAFTY SHACK, DANAUS, EONBLUE, FRETTING YETI, HYPERION, IRRITANT HORN, MASTERSHAKE, PEITHO, PLINK, SCORPIOFORE
    CASCADE : architecture conjointe de cybercapteurs

    Résumé : Ce document traite de la configuration des réseaux de capteurs du CST à partir de 2011 et des plans du CST pour développer le réseau à l'avenir. La discussion n'a porté que sur les capteurs passifs et leur infrastructure de support. Deux systèmes de capteurs ont été identifiés, PHOTONIC PRISM, pour surveiller les réseaux du gouvernement du Canada, et EONBLUE, qui est un système SIGINT passif qui a été utilisé pour collecter des données « complètes », ainsi que pour effectuer des détections basées sur des signatures et des anomalies sur le trafic réseau.

    Les systèmes EONBLUE ont été déployés dans certains réseaux gouvernementaux et ont également été utilisés pour surveiller les communications par satellite étranger (FORNSAT) ; il peut également être utilisé pour surveiller le trafic de télécommunications cellulaires ou radio. Le système INDUCTION, qui a des capacités similaires à EONBLUE, a été déployé au niveau national aux passerelles entre les domaines de réseau nationaux et internationaux. Le document traite également d'un programme de production et de traitement de métadonnées, THIRD-EYE, qui a fonctionné sur de nouveaux sites sélectionnés et d'un capteur non classifié, CRUCIBLE, qui a été conçu pour suivre les cibles dans les installations d'information compartimentées pré-sensibles (SCIF).

    CASCADE est le nom de code d'un projet axé sur la normalisation de la sécurité des technologies de l'information (ITS) et des capteurs SIGINT, afin que les capteurs susmentionnés puissent être intégrés de manière transparente et permettent une plate-forme d'analyse commune pour les données capturées.

    D'ici 2015, le CST espérait augmenter son accès à la source spéciale (SSO) pour inclure toutes les passerelles internationales accessibles à partir du Canada ainsi qu'un réseau de capteurs multicouches destiné à améliorer la sécurité des systèmes du gouvernement du Canada. De plus, la capacité opérationnelle devait être améliorée, de sorte que les capteurs SIGINT, ITS et partenaires cryptologiques interopéraient de manière transparente. On ne sait pas exactement ce que ces capteurs partenaires peuvent englober. L'autorité a également été recherchée pour les opérations "Effets", ainsi que l'infrastructure, les politiques et l'artisanat nécessaires pour mener de telles opérations.

    Grâce à ces activités, le CST espérait détecter les menaces avant qu'elles ne pénètrent dans l'infrastructure nationale, identifier les exfiltrations et les systèmes de commandement et de contrôle, et transformer le réseau lui-même en un domaine défensif. Cet objectif final exigerait que le CSE soit en mesure de modifier les routes de trafic de données, d'éliminer silencieusement les paquets et d'insérer des charges utiles dans les paquets de données. Le CST considérait ces activités « défensives » étendues comme nécessaires parce que la défense des passerelles ou des nœuds terminaux était insuffisante pour protéger les systèmes gouvernementaux.

    Si les capteurs étaient mis à niveau, le CST a suggéré que des changements aux interopérations de base de Five Eyes pourraient suivre. Ces changements comprenaient les éléments suivants : les pourboires et les files d'attente pourraient ne plus être utilisés pour partager les menaces contre les systèmes gouvernementaux et pourraient plutôt être utilisés exclusivement pour permettre la collecte de renseignements ; et il ne serait pas nécessaire de faire des demandes de tâches/ciblages concernant les acteurs communs qui ciblent le CST et les autres membres de l'alliance Five Eyes. Le résultat serait que le SIGINT étranger deviendrait un domaine de «chasse» et que la défense nationale serait intégrée au cœur même d'Internet - national et étranger - lui-même.

    Publication du document : 23 mars 2015
    Document daté : 2011
    Longueur du document : 66 pages
    Article connexe : La boîte à outils de cyberguerre du Centre de la sécurité des communications révélée
    Télécharger le document : CASCADE : Architecture conjointe des cybercapteurs
    Activités de R&D sur la défense des cyberréseaux

    Résumé : Ce jeu de diapositives donne un aperçu des activités de recherche et de développement entreprises par le groupe Cyber ​​Network Defense (CND). L'objectif principal de CND à l'époque était sur PHOTONIC PRISM, un réseau de capteurs travail conçu pour protéger les réseaux et les appareils du gouvernement du Canada contre les menaces externes.

    Le CND a principalement tiré parti de la R&D de partenaires externes car sa taille l'empêchait de mener des recherches de bas niveau. À titre d'exemple, il a utilisé POPQUIZ de R23 et un scanner de pièces jointes d'e-mail du GCHQ. Les projets dans lesquels CND était engagé à l'époque incluent PONYEXPRESS, un programme d'analyse des e-mails, le PHOTONIC PRISM mentionné précédemment et la défense dynamique activée par un logiciel installé sur le matériel Consumer Off The Shelf (COTS).

    Le CND a noté que les défis comprenaient la durée de ses activités de recherche, la traduction des exigences classifiées dans un domaine non classifié, la participation appropriée de l'industrie et du milieu universitaire, et la politique, entre autres défis.

    Publication du document : 23 mars 2015
    Document daté : 2010
    Longueur du document : 26 pages
    Article connexe : La boîte à outils de cyberguerre du Centre de la sécurité des communications révélée
    Télécharger le document : Activités de R&D pour la défense des cyberréseaux
    Découverte des cybermenaces ITS/N2E du CSTC

    Résumé : Ce jeu de diapositives fournit un contexte sur l'unité N2E de la sécurité des technologies de l'information (ITS), ses capacités existantes et une série d'expériences menées lors d'un atelier tenu en 2010 au Canada. L'équipe N2E a été créée en 2010 et utilise des données complètes et (à l'époque) progressait dans la mise en place de politiques pour utiliser les communications privées interceptées et partager ou accéder aux données partagées. Ils ont stocké des captures de paquets complets du trafic destiné au gouvernement du Canada pendant des jours, voire des mois, et des métadonnées pendant des mois, voire des années.

    Le principal problème auquel était confronté N2E, ou peut-être plus largement le CST, était le volume de données acquises, conservées, résumées, analysées et présentées aux analystes. L'atelier de 2010 qui s'est tenu au Canada a relevé certains de ces défis en élaborant un processus visant à réduire le volume d'informations de métadonnées d'URL d'e-mail présentées aux analystes, ce qui a réduit les taux de faux positifs par rapport aux inspections d'URL. L'atelier a également analysé comment prédire si les pièces jointes des e-mails étaient malveillantes, ce qui a permis de réduire la rétention de données de 85 % avec seulement une perte de 1 à 3 % d'e-mails "intéressants". Les participants ont également étudié comment détecter plus efficacement les acteurs malveillants qui utilisaient des téléchargements masqués de l'environnement de préinstallation Windows (PE), ce qui a permis de progresser dans l'identification des types de téléchargements incriminés.

    Publication du document : 23 mars 2015
    Document daté : 2010
    Longueur du document : 60 pages
    Article connexe : La boîte à outils de cyberguerre du Centre de la sécurité des communications révélée
    Télécharger le document : CSTC ITS/N2E Cyber ​​Threat Discovery
    Capacités du CSTC en matière de cybermenace : SIGINT et STI : une approche de bout en bout

    Résumé : Ce jeu de diapositives donne un aperçu de la manière dont SIGINT et la sécurité des technologies de l'information (ITS) du gouvernement interagissent pour les opérations "défensives". L'analyse du trafic de données est effectuée par des capteurs du gouvernement du Canada, ainsi que par ceux mandatés par le SCRS pour une collecte complète garantie, ceux situés aux passerelles Internet canadiennes/internationales, ceux situés dans l'Internet élargi, ainsi que le trafic de données analysé sur les appareils CST a « exploité ».

    EONBLUE est utilisé pour l'analyse des réseaux non gouvernementaux du Canada et implique la découverte de cibles, leur suivi, ainsi que la production de métadonnées à partir du trafic exposé à EONBLUE. EONBLUE est un système basé sur l'inspection approfondie des paquets qui, lorsqu'il est associé à une prise complète garantie, permet au CSE de découvrir les balises du réseau. Le programme équivalent d'ITS est PHOTONIC PRISM.

    Les capteurs réseau de CSE traitaient 125 Go/heure de métadonnées HTTP et s'appuyaient sur 50 To de stockage à haut débit pour effectuer des analyses en amont de la réception des données. ITS a stocké 300 To de données complètes, soit l'équivalent de mois de trafic.

    Lors du processus d'analyse des données des capteurs ITS et SIGINT, des anomalies et des événements sont détectés, qui sont traités par des moteurs d'alerte et des serveurs logiques de décision ; les informations logiques sont partagées avec tous les partenaires de Five Eyes à la suite de la résolution de Sydney. La logique est basée, en partie, sur les informations de basculement et de repérage; ces informations peuvent faciliter les avertissements ou les indications d'attaques en temps quasi réel et permettre une défense collaborative dans toutes les nations Five Eyes.

    Le CST a identifié la « défense dynamique » comme impliquant à la fois des actions localisées à la périphérie du réseau par les STI, ainsi que des opérations au cœur de l'Internet mondial pour agir sur le trafic de données et le modifier, ainsi que l'implantation de logiciels malveillants sur des infrastructures étrangères pour sonder, explorer et découvrir l'espace réseau de l'adversaire et recueillir des informations et des outils utilisés par les adversaires. Ces opérations « défensives » peuvent être complétées par des technologies d'influence, telles que les signatures d'entreprises antivirus, le développement de relations avec les chaînes d'approvisionnement ou des manœuvres politiques. Ces activités sont séparées dans le « spectre des activités cybernétiques » des opérations actives et des techniques de tromperie.

    La dernière diapositive identifie les prochaines étapes, qui incluent la synchronisation des missions SIGINT et ITS, le financement, le développement de capacités de capteur et d'analyse conjointes et plus d'international l interopérabilité et coordination des politiques. Il a également, en contrepartie, des modifications législatives. Les modifications spécifiques ne sont pas mentionnées dans la diapositive.

    Publication du document : 23 mars 2015
    Date du document : 2009 ou 2010 (éventuellement ; document non daté officiellement)
    Longueur du document : 46 pages
    Article connexe : La boîte à outils de cyberguerre du Centre de la sécurité des communications révélée
    Télécharger le document : Capacités du CSTC en matière de cybermenace : SIGINT et STI : une approche de bout en bout
    Détection des cybermenaces

    Résumé : ce document résume la manière dont le CST surveille les menaces à l'aide du système EONBLUE, parallèlement aux systèmes traditionnels de collecte de métadonnées. Ces derniers systèmes sont déployés sur des sites de sources spéciales (SSO), reposent sur un accès par mandat et exploitent les communications par satellite étrangères. Des capteurs nationaux et SIGINT (internationaux) sont utilisés pour détecter et atténuer les menaces, la Chine (c'est-à-dire SEEDSPHERE) étant utilisée comme exemple d'acteur menaçant récurrent.

    OLYMPIA, le moteur de connaissances réseau de CSE, est utilisé pour analyser ou trier les données stockées dans un stockage en cluster à haut débit sur les sites de collecte de CSE afin de faciliter la collecte des réponses DNS et de dédupliquer les données.

    La détection des Fast Flux Botnets, appelés CROSSBOW, repose sur des algorithmes de découverte de cibles déployés sur les sites CSE SSO ; les capteurs sur lesquels ces algorithmes s'exécutent peuvent être des serveurs CRUCIBLE qui sont des systèmes passifs à faible coût et à déploiement rapide qui utilisent des signatures de ciblage Top Secret/Special Intelligence dans des installations d'information compartimentées non sensibles (SCIF).

    Publication du document : 23 mars 2015
    Document daté : novembre 2009
    Longueur du document : 14 pages
    Article connexe : La boîte à outils de cyberguerre du Centre de la sécurité des communications révélée
    Télécharger le document : Détection des cybermenaces
    Relation de renseignement de la NSA avec la Nouvelle-Zélande

    Résumé : Ce document résume l'état des relations entre la NSA et le Bureau de la sécurité des communications du gouvernement néo-zélandais (GCSB). Le GCSB a été contraint de consacrer davantage de ressources à l'audit de conformité à la suite de recommandations après avoir outrepassé son autorité pour aider les forces de l'ordre nationales, mais continue de se concentrer sur les priorités du gouvernement et des cinq yeux et est encouragé à poursuivre l'interopérabilité technique avec la NSA et d'autres nations FVEY. .

    La NSA fournit au GCSB "le trafic brut, le traitement et les rapports sur les cibles d'intérêt commun, en plus des conseils techniques et des prêts d'équipement". Le GCSB fournit principalement à la NSA un accès à des communications qui resteraient autrement inaccessibles. Ces communications comprennent : la Chine, les communications diplomatiques japonaises/nord-coréennes/vietnamiennes/sud-américaines, les pays insulaires du Pacifique Sud, le Pakistan, l'Inde, l'Iran et l'Antarctique, ainsi que la police française et les activités d'essais nucléaires en Nouvelle-Calédonie.

    Il convient de noter que GCSB est membre de SIGINT Seniors Pacific (SSPAC) (comprend l'Australie, le Canada, la France, l'Inde, la Corée, la Nouvelle-Zélande, Singapour, la Thaïlande, le Royaume-Uni et les États-Unis) ainsi que SIGINT Seniors Europe (SSEUR) ( comprend l'Australie, la Belgique, le Canada, le Danemark, la France, l'Allemagne, l'Italie, les Pays-Bas, la Nouvelle-Zélande, la Norvège, l'Espagne, la Suède, le Royaume-Uni et les États-Unis).

    Publication du document : 11 mars 2015
    Document daté : avril 2013
    Longueur du document : 3 pages
    Article connexe : Révélations de Snowden : la portée des espions néo-zélandais s'étend à travers le monde
    Télécharger le document : Relations de renseignement de la NSA avec la Nouvelle-Zélande
    Classification : TOP SECRET//SI//REL TO USA, FVEY
    Agence auteur : NSA
    Noms de code : Aucun
    Procès-verbal du Forum de développement SIGINT (SDF)

    Résumé : Ce document résume l'état du développement des signaux parmi les Five Eyes (FVEY). Il décrit d'abord les impératifs fondamentaux du groupe, notamment : s'assurer que les meilleures technologies sont identifiées pour être utilisées et liées à la capacité qu'elles apportent ; que la mise en forme de la NSA (ciblage des routeurs) s'améliore (tout en notant que pour le CSE et le GCSB, la mise en forme implique «l'engagement de l'industrie et la flexion de la collecte»); améliorer le modèle de collecte et d'analyse de la vie ; améliorer la géolocalisation des adresses IP qui couvre les domaines Internet, radiofréquence et GSM ; analyser l'impact de la convergence des systèmes et technologies de communication sur les opérations SIGINT.

    Les problèmes de confidentialité étaient considérés comme étant sur le radar des groupes, au motif que "l'équipe de surveillance et de conformité de la NSA manquait de ressources et était surchargée". Ni le GCSB ni le DSD n'ont été en mesure de parrainer ou d'auditer les comptes d'analystes similaires à la NSA, et le CSTC a indiqué qu'il avait envisagé de financer des postes d'audit ; bien que rejetée à l'époque, la perspective a resurgi. À l'époque, les FVEY non-NSA réfléchissaient à la manière de mettre en place des comptes de "super-utilisateurs", où un personnel spécifique exécuterait des requêtes pour des homologues qui ne sont pas directement autorisés à exécuter des requêtes sur des bases de données sélectives.

    Le GCSB, en particulier, développait sa première équipe d'analystes de réseau en octobre 2009 et devait prouver l'utilité de l'analyse de réseau afin d'obtenir du personnel supplémentaire pour prendre en charge ultérieurement les tâches d'exploitation de STATEROOM et de réseau informatique. En outre, le GCSB devait poursuivre ses travaux dans la région du Pacifique Sud, ainsi que l'expansion des efforts et des capacités d'accès au câble au cours d'une poussée d'un mois. Il y avait également un problème où 20% de la main-d'œuvre analytique du GCSB n'avait pas accès au XKEYSCORE de DSD, ce qui était un problème étant donné que le GCSB fournissait à la NSA des données brutes. La raison pour laquelle des outils externes sont nécessaires pour accéder aux données est que le personnel du GCSB n'a pas le droit d'accéder aux données néo-zélandaises.

    Publication du document : 11 mars 2015
    Document daté : 8-9 juin 2009
    Longueur du document : 3 pages
    Article connexe : Révélations de Snowden : la portée des espions néo-zélandais s'étend à travers le monde
    Télécharger le document : procès-verbal du Forum de développement SIGINT (SDF)
    Classification : TOP SECRET//COMINT//REL TO USA, AUS, CAN, GBR, NZL
    Agence auteur : NSA
    Noms de code : CABINE, XKEYSCORE
    Open Source pour la cyberdéfense/progrès

    Résumé : Cette entrée du wiki du GCHQ identifie les sources de données actuelles et futures pour les actions de cyberdéfense. Toutes les sources sont open source. À l'avenir, il est prévu d'intégrer des sources de renseignements sur les vulnérabilités, des données d'infrastructure en masse, ainsi qu'un ensemble de divers types de données (par exemple, quelles adresses .gov.uk doivent être protégées).

    L'entrée wiki décrit GhostNet comme un "serveur ORB connu" sous l'en-tête "Bulk Infrastructure Data". GhostNet est une infrastructure de commandement et de contrôle principalement utilisée par la République populaire de Chine pour cibler des organisations telles que les ambassades étrangères et le gouvernement tibétain en exil. La recherche sur GhostNet a été menée par un ensemble d'institutions universitaires, dont le Citizen Lab de la Munk School of Global Affairs de l'Université de Toronto. Les boîtes de relais opérationnelles (ORB) sont utilisées par les agences SIGINT comme mandataires et permettent aux acteurs SIGINT de prendre des mesures que les victimes ne peuvent pas attribuer positivement à l'agence responsable. Il n'est pas clair d'après le document si le GCHQ ou d'autres agences Five Eyes prévoient d'utiliser l'infrastructure GhostNet comme leurs propres ORB ou s'ils ont classé les activités provenant de cette infrastructure comme probablement attribuables à des groupes de renseignement chinois.

    Publication du document : 4 février 2015
    Document daté du : Dernière mise à jour le 25 juin 2012
    Longueur du document : 2 pages
    Article connexe : les agences d'espionnage occidentales comptent secrètement sur les pirates pour obtenir des renseignements et de l'expertise
    Télécharger le document : Open Source pour la cyberdéfense/Progress
    Qui d'autre cible votre cible ? Collecte de données volées par des pirates

    Résumé : Ce bulletin de la NSA décrit la découverte par le CST et le GCHQ de pirates qui exfiltrent les données de messagerie des cibles d'intérêt pour les agences. Le CSE et le GCHQ ont exploité des données volées par des pirates (nom de code INTOLERANT) et les ont utilisées pour enrichir les propres magasins de données des agences. Les victimes ciblées par les hackers, et donc exploitées par les agences SIGINT, appartenaient aux catégories suivantes : diplomates indiens et marine indienne, diplomates d'Asie centrale, défenseurs chinois des droits de l'homme, personnalités tibétaines pro-démocratie, militants ouïghours, représentant spécial européen en Afghanistan et photojournalistes indiens et le gouvernement tibétain en exil. Bien que l'on pense que les pirates sont parrainés par l'État, ni le CST ni le CCHQ ne peuvent attribuer positivement leurs actions à un État particulier. Les institutions canadiennes, américaines ou d'autres nations Five Eyes qui assurent la liaison avec les victimes peuvent avoir été informées du piratage, bien qu'il n'y ait aucune preuve que les victimes réelles aient été informées.

    Publication du document : 4 février 2015
    Document daté du : 5 juin 2010 (dernière mise à jour le 11 octobre 2012)
    Longueur du document : 1 page
    Article connexe : les agences d'espionnage occidentales comptent secrètement sur les pirates pour obtenir des renseignements et de l'expertise
    Télécharger le document : Qui d'autre cible votre cible ? Collecte de données volées par des pirates
    LA LÉVITATION et l'hypothèse FFU

    Résumé : Ce jeu de diapositives du CST décrit l'efficacité du programme LEVITATION. LEVITATION est utilisé pour surveiller et identifier les personnes qui téléchargent des documents à partir de sites de téléchargement de fichiers gratuits (FFU). Au moment de la présentation, LEVITATION surveillait les URL des fichiers, ainsi que les numéros séquentiels, les noms des sélecteurs et les termes de recherche sur le Web. À l'avenir, le CSE a proposé d'intégrer les données GPS, les appareils proches des lieux, les lacunes de téléphonie, les informations sur les cibles des agences SIGINT étrangères et les données d'appels manqués. Le document ne précise pas en quoi l'intégration de ces données enrichirait le programme LEVITATION.

    LEVITATION commence par le centre d'opérations Web (CWOC) du CSE identifiant les URL sur les sites FFU renvoyant vers des documents d'intérêt. Une source spéciale, nommée ATOMIC BANJO, fournit chaque jour 10 à 15 millions d'"événements de téléchargement" au CSE à partir de 102 sites FFU. Tous ces événements sont disponibles à l'aide d'OLYMPIA, le moteur de connaissances réseau de CSE. Le CSE examine les événements agrégés par rapport à la liste d'environ 2 200 URL du CWOC, qui génère environ 350 événements de téléchargement intéressants chaque mois. Il n'est pas clair si les données d'événement restantes sont purgées des bases de données du CST.

    Les informations provenant d'événements de téléchargement intéressants sont ensuite traitées par CSE. L'Etablissement examine d'abord si l'adresse IP associée à l'événement de téléchargement a été vue cinq heures avant et après l'événement par les messages d'écoute de Five Eyes. Si l'adresse IP a été vue, les bases de données MARINA ou MUTANT BROTH sont interrogées pour corréler l'adresse IP avec des identifiants d'identification personnelle dans ces bases de données, identifiant ainsi la personne qui a probablement téléchargé le matériel en question. MARINA est une base de données NSA contenant des métadonnées interceptées et la base de données MUTANT BROTH du GCHQ contient des métadonnées similaires. Bien qu'il n'en soit pas question ailleurs, le CST note des succès issus de la surveillance des téléchargements de fichiers - puis de la diffusion de renseignements à des organisations telles que la CIA - pour la collecte de renseignements également.

    Publication du document : 27 janvier 2014
    Date du document : Inconnu (après mars 2012)
    Longueur du document : 21 pages
    Article connexe : CSE suit quotidiennement des millions de téléchargements : documents Snowden
    Télécharger le document : LÉVITATION et l'hypothèse FFU
    Faites attention à cet homme derrière le rideau : Découvrir les clients sur l'infrastructure CNE

    Résumé : Ce document du CSE décrit comment l'Etablissement analyse ses cibles dans le cadre des opérations de Contre-Exploitation des Réseaux Informatiques (CCNE). Les opérations du CCNE s'appuient sur les données du groupe Computer Network Exploitation (CNE), du groupe Global Network Discovery et du groupe Cyber ​​Counter Intelligence. Les analyses du CCNE identifient idéalement si une partie étrangère a déjà exploité un dispositif ou une infrastructure ciblée par le CSE et, si oui, quelle partie l'a fait.

    Le CCNE s'appuie fortement sur les sorties de WARRIOR PRIDE, qui est la plateforme d'exploitation du réseau informatique du CSE. Ces sorties, nommées REPLICANTFARM, permettent au CCNE d'identifier si d'autres acteurs, technologies d'implant ou autres anomalies sont présentes sur l'appareil ou le système ciblé.3

    Dans le cadre de ses opérations, le CCNE peut utiliser des infrastructures secrètes identifiées et cartographiées dans le cadre du système LANDMARK. L'infrastructure, appelée «boîtiers relais opérationnels» (ORB), permet au CCNE de nier de manière plausible ses activités.

    L'essentiel de ce document est que le CCNE fournit une connaissance de la situation au CNE, dans la mesure où il alerte l'équipe du CNE d'une éventuelle cohabitation d'infrastructures communes. Le CCNE permet également au CSE d'identifier de nouveaux acteurs lors de la détection d'anomalies inédites et permet à l'Établissement de suivre les acteurs connus. En conséquence, le CCNE est en mesure de « déconflit » lorsqu'une infrastructure est envahie par plusieurs agences étatiques tout en fournissant des informations sur le métier et les outils utilisés par les acteurs étrangers découverts dans le monde.

    Publication du document : 17 janvier 2015
    Document daté : juin 2010
    Longueur du document : 30 pages
    Article connexe : La course aux armements numériques : la NSA prépare l'Amérique pour la bataille future
    Télécharger le document : Faites attention à cet homme derrière le rideau : découvrez des extraterrestres sur l'infrastructure du CNE
    CSE SIGINT Cyber ​​Discovery : Résumé de l'effort actuel

    Résumé : Ce jeu de diapositives CSE décrit l'intégration entre les unités Counter Computer Network Exploitation (CCNE), Global Network Discovery (GND) et Cyber ​​Counterintelligence (CNT1). Alors que le CCNE et le GND sont chargés de la collecte des données, le CNT1 est chargé de l'analyse et du reporting des données découvertes.

    Le CCNE utilise des plugins de WARRIOR PRIDE pour analyser les données envoyées par les appareils et systèmes exploités par le CSE. L'objectif du CCNE est de déterminer si un implant non CSE ou un autre acteur a déjà exploité l'appareil ou le système, ainsi que d'évaluer si des fichiers anormaux sont présents sur l'appareil ou le système, ou si un trafic de données anormal provient de l'appareil ou du système.

    GND utilise plus de 200 capteurs déployés dans le monde pour suivre les menaces ; ce réseau de capteurs porte le nom de code EONBLUE. Les capteurs EONBLUE évoluent jusqu'à 10 Gbps de trafic de données et il était prévu d'augmenter les vitesses de détection à des débits de plusieurs 10 Gbps. Le trafic de données est analysé pour découvrir les cibles (en s'appuyant sur le plug-in de reconnaissance de machine SLIPSTREAM WARRIOR PRIDE), ainsi que pour suivre les cibles (nom de code SNIFFLE) et extraire les métadonnées du système de noms de domaine et HTTP.

    Dans le cadre de travaux futurs, GND prévoyait de tester la capacité d'EONBLUE à envoyer des métadonnées dans une base de données XKEYSCORE localisée et, potentiellement, à partager des métadonnées avec les bases de données XKEYSCORE d'autres pays. XKEYSCORE est utilisé pour conserver les données de communication brutes et non sélectionnées. GND prévoyait également de partager les données CSE EONBLUE avec le programme EONBLUE du DSD. Curieusement, le GND dispose également d'un système de détection QUANTUM, qui est un système qui injecte des paquets de données dans le trafic réseau pour les activités d'exploitation du réseau informatique.

    Le CNT1 analyse les données ou pistes fournies par les groupes CCNE et GND pour rechercher des pistes intéressantes et procède à des analyses des informations issues des autres groupes. Les données reçues peuvent provenir de sources spéciales, de données garanties et de seconde partie, d'analyses de logiciels malveillants et d'ingénierie inverse, ainsi que d'analyses médico-légales d'implants. L'analyse est utilisée pour produire des rapports sur les anomalies ou les activités constatées par le CCNE et le GND, ainsi que pour tenter d'attribuer les données ou les pistes à des acteurs spécifiques.

    Publication du document : 17 janvier 2015
    Document daté : novembre 2010
    Document longueur : 22 pages
    Article connexe : "La course aux armements numériques : la NSA prépare l'Amérique pour la bataille future"
    Télécharger le document : CSEC SIGINT Cyber Discovery : résumé de l'effort actuel
    Tendances TLS : une table ronde sur l'utilisation actuelle et les orientations futures

    Résumé : Inspiré par ses collègues britanniques, le CSE a lancé des analyses du trafic SSL/TLS garanti4 qu'il capture. Ces analyses sont conçues pour identifier les tendances et permettre au CST de comprendre de manière proactive l'état du chiffrement en ligne. Sur le plan opérationnel, le projet permet aux analystes d'identifier les services connus utilisés par une cible et les changements dans l'utilisation de TLS par la cible. Le projet a également fourni des analyses plus larges du trafic TLS des sites.

    Le jeu de diapositives tire des exemples du trafic garanti, bien qu'il comprenne également un organigramme de la réception du trafic SSL/TLS à partir d'une source spéciale. Le trafic source spécial, contrairement au trafic garanti, est transmis à OLYMPIA. OLYMPIA est le moteur de connaissance du réseau de CSE.

    Les travaux futurs comprenaient la réalisation d'analyses de tendances sur le trafic de source spéciale. Ces travaux comprenaient également l'amélioration de la collaboration entre l'équipe chargée de l'analyse des tendances TLS et l'équipe d'exploration de données de l'établissement.

    Publication du document : 28 décembre 2014
    Document daté : Inconnu
    Longueur du document : 15 pages
    Article connexe : Prying Eyes : Inside the NSA's War on Internet Security
    Télécharger le document : TLS Trends Une table ronde sur l'utilisation actuelle et les orientations futures
    Détection automatique des NOC

    Résumé : Les principaux réseaux d'entreprise gèrent leurs réseaux à partir des centres d'opérations réseau (NOC). Les analystes du GCHQ et du CSE ont évalué s'ils pouvaient mettre en œuvre NOCTURNAL SURGE dans OLYMPIA, le moteur de connaissances du réseau du CSE, lors d'une réunion en mars 2011 au Canada.

    Les analystes utilisent NOCTURNAL SURGE pour trouver des NOC. Le système s'appuie sur des bases de données préexistantes pour identifier les "listes de contrôle d'accès". Le GCHQ puise dans la base de données 5-ALIVE et le CSE dans les bases de données HYPERION. Les listes de contrôle d'accès incluent les ports couramment utilisés que les administrateurs réseau utilisent pour initier des connexions TELNET ou SSH aux systèmes qu'ils administrent. Des informations de port similaires sont enregistrées pour les lignes de télétype virtuel (VTY); VTY est un terme hérité associé aux interfaces de ligne de commande des systèmes plus anciens (par exemple, les routeurs).

    Après avoir passé au peigne fin les bases de données à l'aide de NOCTURNAL SURGE et identifié les NOC, les NOC peuvent être ciblés pour des opérations d'exploitation du réseau informatique. L'exploitation consiste à corréler les adresses IP des CNO avec les identifiants affiliés de la base de données MUTANT BROTH. MUTANT BROTH stocke les corrélations entre les adresses IP avec les cookies et d'autres données d'identification. Le système d'exploitation QUANTUM INSERT5 est utilisé pour cibler les administrateurs après que les analystes ont corrélé les données NOC avec les informations de MUTANT BROTH.

    Publication du document : 13 décembre 2014
    Document daté : Inconnu
    Longueur du document : 25 pages
    Article connexe : Operation Socialist : L'histoire intérieure de la façon dont des espions britanniques ont piraté la plus grande entreprise de télécommunications de Belgique
    Télécharger le document : Détection automatisée des NOC
    2e SCAMP au processus CSEC (partie d'AURORAGOLD)

    Résumé : Le document SCAMP décrit les progrès réalisés dans l'amélioration et l'évaluation des capacités existantes du CST axées sur le renseignement électromagnétique. Le document ne traite pas explicitement de l'exploitation du réseau du CST ou des opérations de défense du gouvernement.

    De nouveaux systèmes (IRASCIABLE RABBIT et TOYGRIPPE) ont été intégrés à OLYMPIA selon le document. Des progrès ont également été réalisés dans l'identification des réseaux privés virtuels d'intérêt pour la cryptanalyse. Le document SCAMP note qu'il y a eu des "progrès" dans le partage et l'analyse des documents d'itinérance internationale collectés par SIGINT (c'est-à-dire IR.21).

    Le document spécifique au CSE fait partie d'une plus grande collection de documents liés au projet AURORAGOLD. AURORAGOLD conserve et collecte des informations sur les propriétés des réseaux de télécommunications mobiles afin que les analystes puissent comprendre l'état actuel des réseaux des systèmes mobiles mondiaux, les tendances de l'état de ces réseaux et les évolutions futures des réseaux. Une grande partie de ces informations est contenue dans les documents IR.21. Sont également inclus des sélecteurs d'e-mail et des métadonnées capturées avec le contenu des documents eux-mêmes. La page 38 des documents AURORAGOLD indique qu'il n'y avait pas eu d'analyse importante de l'infrastructure canadienne des télécommunications mobiles au moment où le document a été produit.

    De manière significative, une diapositive liée à AURORAGOLD comprend des puces sur la recherche ou l'introduction de vulnérabilités dans les infrastructures mobiles pour une exploitation ultérieure (page 45). Il n'est pas clair s'il s'agit d'un flux de processus pour le groupe AURORAGOLD lui-même ; il est possible qu'une autre partie au sein de la NSA ou d'une autre agence soit responsable de ces aspects du renseignement électromagnétique ou du processus de développement.

    Publication du document : 4 décembre 2014
    Document daté : Inconnu
    Longueur du document : 1 page (SCAMP) // 63 pages (AURORAGOLD)
    Article associé : Opération AURORAGOLD : comment la NSA pirate les réseaux de téléphonie mobile dans le monde
    Télécharger le document : SCAMP // AURORAGOLD
    Partage du cryptage des opérations du réseau informatique
    Information Cryptologique avec des partenaires étrangers

    Résumé : Ce document de la NSA identifie l'étendue de la coopération de la NSA avec les organisations militaires et de renseignement d'autres nations. Le document de politique s'applique au partage d'informations sur l'exploitation et la défense des réseaux informatiques entre les agences de renseignement, telles que le CST, ainsi qu'au partage d'informations cryptologiques avec d'autres armées. Le Canada figure sur la liste des partenaires de « niveau A : coopération globale », avec l'Australie, la Nouvelle-Zélande et le Royaume-Uni.

    Publication du document : 30 octobre 2014
    Date du document : Inconnu (probablement le 23 novembre 2005 d'après la date de déclassification du 23 novembre 2029)
    Longueur du document : 2 pages
    Article connexe : El CNI facilitó el espionaje masivo de EEUU a España (ES) // L'Espagne est de connivence avec la NSA qui espionne ses citoyens, rapporte un journal espagnol
    Télécharger le document : Partage d'informations cryptologiques sur les opérations de réseau informatique avec des partenaires étrangers
    LANDMARK (Associé à HACIENDA)

    Résumé : La présentation LANDMARK décrit le plan du CST visant à automatiser l'identification des appareils pouvant être utilisés comme boîtiers de relais opérationnels. Ces cases (c'est-à-dire les appareils et systèmes informatiques liés à Internet) sont utilisées par le CST et d'autres partenaires du renseignement pour fournir un niveau de non-attribution pour leurs activités en ligne. Les boîtiers sont également utilisés pour accéder aux réseaux ou au trafic réseau.

    Les analystes utilisent LANDMARK pour exécuter des requêtes sur l'ensemble des données accessibles via le moteur de connaissances du réseau OLYMPIA de CSE. Ces requêtes révèlent si un réseau est déjà connu pour être vulnérable sur la base de données historiques collectées accessibles à l'aide d'OLYMPIA, ainsi que si un périphérique du réseau a déjà été compromis. Cette analyse prend moins de 5 minutes et a été intégrée dans OLYMPIA lui-même.

    LANDMARK opère au sein ou dans le cadre d'un projet de renseignement international plus large nommé HACIENDA. HACIENDA a été développé par le GCHQ et les agences partenaires comprennent le CSE, la NSA et l'ASD. HACIENDA cartographie les contours d'Internet en effectuant des analyses de port des appareils connectés à Internet. Les adresses IP de ces appareils sont corrélées avec des informations de géolocalisation pour situer les adresses identifiées et leurs ports correspondants. Les partenaires du renseignement utilisent les informations d'HACIENDA pour mener des opérations d'exploitation de réseaux informatiques et de découverte de signaux.

    Publication du document : 15 août 2014
    Document daté : Inconnu
    Longueur du document : 6 pages (LANDMARK) // 26 pages (le programme HACIENDA)
    Article associé : NSA/GCHQ : Le programme HACIENDA pour la colonisation d'Internet
    Télécharger le document : LANDMARK // HACIENDA et LANDMARK
    Pays, territoires et individus tiers non ciblés

    Résumé : Ce document publié par la NSA identifie les territoires contrôlés ou administrés par les États-Unis, l'Australie, le Royaume-Uni et la Nouvelle-Zélande. Le Canada est noté comme dépourvu de tout territoire au-delà de ses frontières nationales. Les territoires contrôlés ou administrés par les membres du réseau de renseignement Five Eyes ne peuvent pas être ciblés par d'autres membres de l'alliance du renseignement électromagnétique.

    La deuxième page du document juxtapose les différentes exigences d'autorisation de ciblage du renseignement électromagnétique entre les cinq nations susmentionnées. Cette juxtaposition comprend les limites du CST à cibler les ressortissants au Canada, les ressortissants à l'étranger, les ressortissants étrangers au Canada et les ressortissants étrangers à l'étranger. Bien qu'il ne soit pas inclus dans le document, le CST peut cibler et cible effectivement les Canadiens lorsqu'il s'acquitte de son mandat d'aider les organismes fédéraux chargés de l'application de la loi et de la sécurité.

    Publication du document : 30 juin 2014
    Document daté du : 8 janvier 2007
    Longueur du document : 2 pages
    Article associé: La Cour a donné à la NSA une large marge de manœuvre en matière de surveillance, selon des documents
    Télécharger le document : pays, territoires et individus tiers non ciblés
    SNOWGLOBE : de la découverte à l'attribution

    Résumé : La branche de contre-espionnage du CST a identifié un programme de renseignement basé sur un logiciel espion, nommé SNOWGLOBE, qui pourrait avoir été conçu par le service de renseignement français. SNOWGLOBE a été trouvé à l'aide du système de détection d'anomalies REPLICANTFARM qui fait partie de la plateforme d'exploitation du réseau informatique WARRIOR PRIDE du CST.

    Diverses versions des implants de logiciels espions ont été découvertes depuis novembre 2009 (SNOWBALL 1, SNOWBALL 2 et SNOWMAN). Ensemble, ils composent le programme SNOWGLOBE. L'infrastructure du programme a été identifiée à l'aide du système de collecte passive du CSE (EONBLUE). Des infrastructures ont été trouvées aux États-Unis, au Canada, au Royaume-Uni, en République tchèque, en Pologne et en Norvège. L'infrastructure a été trouvée sur des services d'hébergement gratuits ainsi que sur des systèmes non libres existants. Le CST n'a pas pu déterminer si l'accès à ces systèmes impliquait l'acteur étranger utilisant un exploit ou un accès spécial à la source, ou une combinaison des deux.

    Il a été découvert que le logiciel espion avait infecté des organisations iraniennes (par exemple, l'Organisation de l'énergie atomique), européennes (par exemple, l'Association financière européenne), africaines et canadiennes. Un organe de presse canadien de langue française était s également infecté par SNOWGLOBE. D'après les victimes, le CST ne croyait pas que SNOWGLOBE correspondait à un profil de cybercriminalité. Au moment où le CST a présenté ces conclusions, il ne pouvait pas attribuer positivement SNOWGLOBE ou une agence de renseignement française particulière, ni identifier la ou les personnes qui la dirigeaient, et le CSE ne savait pas non plus comment l'agence française avait eu accès aux parties non libres de son infrastructure.

    REF.:  https://christopher-parsons.com/resources/cse-summaries/