Powered By Blogger

Rechercher sur ce blogue

dimanche 27 novembre 2022

Avant Edward Snowden,il y a eut Thomas Drake

 

Avant Edward Snowden,il y a eut Thomas Drake


Publié le novembre 27, 2022 par T30 le Blogger    

Thomas Drake, un lanceur d’alerte autrefois cadre de la NSA, n’est pas étonné d’apprendre que le Canada accède aux demandes de l’agence américaine. « Ça a été le cas pendant des années. »

M. Drake affirme avoir lui-même collaboré avec le CSTC alors qu’il travaillait pour la NSA et est lui aussi d’avis que les agents canadiens sont « d’une compétence extraordinaire ».

Pour M. Drake, « ces opérations secrètes de surveillance vont si loin qu’« il y a un danger clair et irréfutable qui menace la démocratie au Canada ».

Thomas Andrews Drake est un lanceur d’alerte américain, né le 22 avril 1957 en Louisiane. Vétéran décoré de l’US Navy, ce cadre supérieur de la National Security Agency (NSA) dénonce la corruption et la gestion déficiente du Trailblazer Project, ce qui lui vaut d’être accusé par le gouvernement fédéral américain d’avoir attenté à la sécurité nationale selon les termes de l’Espionage Act of 1917. Bien qu’encourant 35 ans de prison, il est finalement condamné pour un délit mineur, mais perd son emploi à la NSA.
Biographie

Le père de Thomas Drake est un vétéran de la Seconde Guerre mondiale, alors que sa mère a été l’une des secrétaires de l’écrivain Pearl Buck. Thomas entre dans l’US Air Force en 1979, où il devient un spécialiste de l’écoute électronique embarquée (Airborne Voice Processing), du fait de sa maîtrise de l’allemand. Il participe également à des missions de surveillance électronique (ELINT)4. C’est dans le cadre de ces missions qu’il est amené à observer les télécommunications de la RDA, État qu’il compare aux États-Unis des années 2000-2010 à cause de plusieurs décisions touchant la vie privée des citoyens américains depuis les attentats du 11 septembre 20015. Il quitte l’Air Force en 1989. Il a aussi travaillé pour l’US Navy, où il est chargé d’analyser des informations pour le compte du National Military Joint Intelligence Center6. Selon The Washington Post, il aurait aussi travaillé pour la CIA7. En 1989, en tant que contractuel pour la NSA, il analyse des logiciels8,7,9. Pour les programmes JACKPOT et LIBRARIAN, il mène des tests de qualité sur les logiciels utilisés. En parallèle, il poursuit des études universitaires10,11.

En 2000, une société travaillant dans l’informatique l’embauche comme spécialiste en qualité logicielle et consultant en TIC12,13. À la fin de 2001, la NSA l’embauche à temps plein et l’assigne au Signals Intelligence Directorate à Fort Meade au Maryland. Il commence à travailler le 11 septembre 2001, le jour des attentats sur le sol américain14,15,16. En 2002, il est nommé directeur d’une section logicielle qui fait partie du Cryptologic Systems and Professional Health Office. En 2003, il est nommé manager du Directorate of Engineering de la NSA. Il détient alors une habilitation Top Secret14. Pendant l’enquête du Congrès américain sur les attentats du 11 septembre, il témoigne des manquements de la NSA7. En 2006, il est assigné à la National Defense University (NDU)7, où il est nommé à la chaire NSA et professeur adjoint en sciences du comportement de l’Industrial College of the Armed Forces (ICAF)14, l’un des colleges de la NDU. Drake est obligé de démissionner de la NDU lorsque son habilitation est suspendue en 2007 ; il démissionne de la NSA l’année suivante17,14,18. Il est ensuite embauché par l’université Strayer mais il est obligé de quitter en 2010 lorsqu’il fait l’objet d’une poursuite judiciaire du gouvernement américain18.

En avril 2010, le gouvernement américain accuse Drake de négligence dans la manipulation de documents classés secrets. C’est l’un des rares employés du gouvernement américain à être accusé selon les termes de l’Espionage Act of 1917. Les défendeurs de Drake avancent plutôt qu’il a été persécuté pour avoir dénoncé la corruption et la gestion déficiente du Trailblazer Project8,17,19,20,14,21. Ensuite, il trouve un emploi dans un magasin de la société Apple7,18. Il fonde à cette époque la société de consultants Knowpari Systems22.

Le 9 juin 2011, l’ensemble des 10 charges à son encontre sont abandonnées. Auparavant, Drake avait rejeté plusieurs propositions de peines parce qu’il refusait une « négociation de plaidoyer avec la vérité »trad 1. Il a plus tard plaidé coupable pour le seul délit d’avoir excédé l’autorisation d’utiliser un ordinateur23. Jesselyn Radack, qui l’a défendu, a qualifié ce geste de « désobéissance civile »24.

En 2011, il reçoit le prix Ridenhour de la vérité2 et est co-récipiendaire du Sam Adams Award for Integrity in Intelligence (SAAII). Lorsqu’il reçoit le SAAII, il dit (rappelant le discours de 1857 prononcé par Frederick Douglass, ancien esclave devenu éditeur) :

    « Le pouvoir et ceux qui contrôlent ne concèdent rien […] sans une demande. Ils ne l’ont jamais fait et ne le feront jamais. […] Chacun d’entre nous doit continuer à exiger, à se battre, à tonner, à labourer, à lutter, à s’exprimer et à parler jusqu’à ce que justice soit faite, car là où il n’y a pas de justice, il ne peut y avoir de paixtrad 2,5. »

Dénonciation du Trailblazer Project et réponse du gouvernement
Dans les murs de la NSA

À la fin des années 1990 et au début des années 2000, la NSA souhaite de nouveaux outils pour recueillir des informations des systèmes de communications numériques, comme Internet. Drake participe aux débats de la NSA sur deux outils : le Trailblazer Project et le ThinThread project21,18. Il fait partie d’un groupe, minoritaire, qui préfère le ThinThread project18 parce que, en théorie, il protège le vie privée des citoyens américains même s’il recueille des informations utiles7. Le Trailblazer Project exige des milliards de dollars pour sa mise au point, dépassant de beaucoup les coûts du ThinThread project. À l’usure, Drake « a perdu ses illusions, [tout en] s’indignant »trad 3 des problèmes qu’il observe à l’agence7. Vers l’année 2000, le grand patron de la NSA, le général Michael Hayden, préfère Trailblazer, annulant dans la foulée ThinThread. Le programme Trailblazer prend de l’ampleur, faisant appel aux services d’IBM, SAIC, Boeing, CSC et d’autres sociétés américaines25.

Drake utilise les moyens légaux prescrits pour les employés fédéraux qui croient que des activités illégales se déroulent dans leur département18. Selon les termes des lois accordant protection aux lanceurs d’alerte, telle que l’Intelligence Community Whistleblower Protection Act, Drake se plaint en interne auprès des autorités désignées : à ses supérieurs, à l’Inspector General de la NSA (IG de la NSA), à l’Inspector General du département de la Défense (IG du DoD) et aux deux comités du Congrès des États-Unis chargés de la surveillance des agences de renseignements26. Il échange aussi régulièrement avec Diane Roark (les deux se sont rencontrés la première fois en 20007), salariée du parti républicain auprès de l’United States House Permanent Select Committee on Intelligence18 (dont la tâche principale est de surveiller les activités des agences de renseignement américaines qui font officiellement partie de la communauté du renseignement des États-Unis27). Roark est l’« expert du personnel » pour le budget de la NSA21.

En septembre 2001, Roark et trois anciens cadres de la NSA, William Binney, J. Kirk Wiebe28 et Ed Loomis29, remplissent un rapport à l’intention de l’IG du DoD dénonçant des problèmes à la NSA, notamment le Trailblazer Project7. Drake est la source majeure des informations du rapport (il a d’ailleurs renseigné le DoD pendant l’enquête de ce dernier sur ces problèmes)7. Roark tente d’informer Porter Goss, alors président de l’United States House Permanent Select Committee on Intelligence20. Elle tente d’échanger avec William Rehnquist, le juge en chef des États-Unis7. Également, elle tente d’approcher David Addington, son ancien collègue républicain dans les années 1980 puis conseiller judiciaire du vice-président Dick Cheney à cette époque16. Un article du Washington Post révèle plus tard qu’Addington a rédigé, sur un appareil à l’épreuve de TEMPEST, des documents de nature technique et légale pour encadrer un programme illégal de surveillance de masse autorisé pendant l’ère de George W. Bush30,31,32. Aucun des trois hommes n’a répondu à ses requêtes.

En 2003, l’IG de la NSA7 déclare que le Trailblazer Project est un échec coûteux33. Ses coûts excèdent à ce moment plus de 1 milliard de dollars21,26,34,35. En 2004, l’IG du DoD produit un rapport final sur les enquêtes lancées à la suite des accusations de Roark et d’autres personnes. Pour l’essentiel, le rapport rapporte les mêmes problèmes. Le rapport mentionne que la NSA a été interdite pendant une certaine période de mettre en branle des projets excédant un certain montant de crainte que ce ne soit de l’argent perdu. Au moment de la production du rapport, le DoD n’envisage pas de le rendre public29.

Dans un article du New Yorker paru en 2011, la journaliste Jane Mayer écrit que Drake pensait que la NSA était plus criminelle que l’ancien président américain Richard Nixon. Drake a parcouru les lois sur la divulgation d’informations et a conclu que s’il révélait à un journaliste des informations unclassifiednote 1, le pire qu’il aurait à subir serait d’être renvoyé16.

En novembre 2005, Drake contacte Siobhan Gorman du journal The Baltimore Sun, lui envoyant des courriels sur Hushmail et échangeant sur plusieurs sujets21,18. Il déclare qu’il a pris beaucoup de précautions pour ne pas révéler des informations sensibles ou classifiées (c’est l’une des règles de base qu’il s’est donnée avant d’échanger avec la journaliste). Ces échanges se déroulent en 2005 et 200636. Gorman écrit alors plusieurs articles sur les pertes, fraudes et abus de la NSA, mentionnant aussi le Trailblazer Project. Elle reçoit par la suite un prix de la Society of Professional Journalists pour une série d’articles démontrant les méfaits du gouvernement américain21. Le juge Richard Bennett, de la cour fédérale de district du Maryland, écrit plus tard « qu’il n’y a aucune preuve que le Journaliste A a rédigé des articles en s’appuyant sur des informations prétendument classifiées découvertes dans la maison de M. Drake »trad 4,37.

En juillet 2007, des agents armés du FBI font des descentes dans les résidences de Roark, Binney et Wiebe, qui se sont plaints en 2002 auprès de l’IG du DoD29. Binney déclare par la suite que des agents ont menacé d’une arme sa femme et lui-même. Ça lui a rappelé l’Union soviétique16. Aucun des trois n’a été accusé. En novembre 2007, des agents du FBI font une descente dans la maison de Drake. Ses ordinateurs, des documents et des livres ont été saisis. Il n’a jamais été accusé d’avoir transmis des informations sensibles à qui que ce soit ; il a été accusé d’avoir « retenu »trad 5 des informationsnote 2,15. Le FBI demande à Roark de témoigner contre Drake, mais elle refuse16. Le FBI n’a jamais contacté la journaliste Gorman7,18.

Dans un premier temps, Drake collabore à l’enquête, déclarant au FBI les prétendues activités illégales de la NSA16. Le procureur Steven Tyrrell rédige entretemps une « ébauche de mise en accusation »trad 6 contre Drake. Elle comprend entre autres l’accusation « d’avoir révélé des informations classifiées à un journaliste dans le but de conspirer »trad 7. Roark, Binney, Wiebe et Loomis (l’un des plaignants auprès de l’IG du DoD en 2002) auraient également été listés comme « co-conspirateurs non-accusés »trad 8,29. En 2009, le procureur William Welch II se penche sur le dossier7,16 et modifie la mise en accusation. Des accusations ont été supprimées ainsi que le nom des co-conspirateurs. Les accusations restantes ne visent plus que Drake29.

Les procureurs veulent que Drake plaide coupable mais il refuse car il se croit innocent des accusations7. Le gouvernement recherche sa collaboration dans les accusations contre les autres lanceurs d’alerte, ce qu’il refuse également16. Il s’explique lorsqu’il reçoit le prix Ridenhour de la vérité en 2011 :

    « J’ai fait ce que j’ai fait parce que je crois sincèrement que mon devoir est envers le peuple américain […] Je savais que nous ne devions pas espionner les Américains et que nous devons rendre des comptes lorsque nous dépensons l’argent des contribuables américainstrad 9,2. »

Accusations

En avril 2010, Drake est accusé par un grand jury de Baltimore, au Maryland, de8,17,19,14 :

    rétention volontaire d’information sur la Défense nationaletrad 10,note 2 (5 fois)
    obstruction à la Justicetrad 11,note 2 (1 fois)
    fausse déclarationtrad 12,note 2 (4 fois)

L’inculpation comprend plusieurs autres allégations ; la plupart ne sont pas directement liées aux accusations contre lui. Le document ne l’accuse pas explicitement d’avoir révélé, sans autorisation, des informations classifiées ; il n’a pas aussi été accusé en vertu de la clause 18 U.S.C. § 798 du U. S. Code (qui porte sur le SIGINT)38. L’inculpation détaille ses échanges avec Roark et Gorman, mais ne l’accuse pas explicitement pour ces communications14. Les noms de Gorman et Roark n’apparaissent pas dans le document, mais des journalistes ont confirmé ces noms8,21. L’avocat de Roark a soutenu que l’inculpation comprend une « caractérisation erronée des faits » sur la relation de Roark et Drake21. Plus tard, Roark plaidera en faveur de Drake et des autres lanceurs d’alerte du Trailblazer Project16.

Les accusations de « rétention volontaire » portaient sur cinq documents découverts dans la résidence de Drake et prétendûment « liés à la défense nationale »trad 13. Les cinq documents étaient respectivement appelés : « What a Success »39, « The Regular Meetings », « Volume is our Friend », « Trial and Testing » et « Collections Sites »40. What a Success sera déclassifié quelques mois après que Drake soit inculpé. Selon une plainte officielle déposée par J. William Leonard, ancien directeur de l’Information Security Oversight Office, il n’aurait jamais dû être classifié41. Regular Meetings était marqué « UNCLASSIFIED » et publié sur NSANet (un intranet de la NSA), mais la poursuite a argué que le défendeur aurait dû savoir que le document était classifié. Plus tard, la défense de Drake a argué que les trois derniers documents se trouvaient parmi des milliers de documents qui n’étaient pas classifiés et son avocat a plaidé que Drake avait apporté de façon accidentelle, et non pas volontaire, les cinq documents à la maison42.

L’accusation d’obstruction visait la suppression alléguée de documents par Drake alors qu’il savait que le FBI enquêtait sur des fuites dans les médias et que le FBI envisageait de rechercher les sources du journaliste Siobhan Gorman14. L’accusation de fausse déclaration était incluse parce que Drake avait dans un premier temps répondu aux questions du FBI sans la présence de son avocat. Selon l’une des fausses déclarations, il aurait emporté chez lui certains documents. Une autre fausse déclaration avançait qu’il aurait volontairement omis de dire qu’il avait transmis des documents classifiés à Gorman19,16. La défense de Drake a souligné que même l’expert du gouvernement a déclaré que Drake n’avait pas détruit quelque preuve que ce soit. Elle a aussi précisé que Drake agissait prudemment et n’a jamais transmis d’information classifiée à Gorman ; plusieurs des documents en question ont été « rétroactivement classifiés »trad 14 une fois que le FBI les a saisis chez lui16,43.

Les bureaux fédéraux qui participent à la mise en accusation sont la Public Integrity Section du DoJ, la Criminal Division du DoJ, la National Security Division du DoJ, le FBI et l’Office of Security & Counterintelligence de la NSA19. Drake est représenté par James Wyda et Deborah Boardman, deux public defenders (des avocats assignés par le gouvernement fédéral lorsqu’une personne ne peut couvrir les frais juridiques)20,44. Drake, en tant que client du Government Accountability Project (GAP), un organisme de défense des lanceurs d’alerte, est conseillé par Jesselyn Radack. L’écrivain James Bamford, spécialiste de la NSA, agit à titre de consultant auprès des défendeurs45,46.

Le procureur du gouvernement, William Welch II, accusé d’outrage au tribunal et démis de ses fonctions lors du procès du sénateur Ted Stevens (qui est accusé de corruption ; le procès est arrêté pour vice de procédure47), sert dans un premier temps de conseiller senior en litiges (Senior Litigation Counsel)48,49. John P. Pearson, de la Public Integrity Section du DoJ, officie en tant qu’avocat de procès (Trial Attorney) du gouvernement, alors que Lanny A. Breuer est chargé de la supervision de la poursuite16. Le juge fédéral Richard D. Bennett supervise les audiences et est responsable du dossier. Il fixe le procès à juin 201150,51.

La poursuite judiciaire contre Drake a été couverte par The Washington Post, The New York Times, Agence France-Presse, Newsweek, Wired, The Washingtonian.com, Secrecy News de la Federation of American Scientists, Politico et d’autres périodiquesnote 3. Jesselyn Radack, en tant que représentante du GAP, a aussi présenté des aspects de cette affaire52.

Le gouvernement fédéral américain a déclaré que la poursuite contre Thomas Drake ne visait pas à interdire aux fonctionnaires de rapporter des problèmes. Un porte-parole du DoJ a déclaré : « Les lanceurs d’alerte sont essentiels dans de nombreuses, nombreuses enquêtes des départements. Nous n’usons pas de représailles contre eux, nous les soutenons. […] Cette poursuite a été lancée sur le fond, et rien d’autretrad 15,53. »
Poursuite judiciaire

Au printemps 2011, des observateurs rapportent que les représentants du gouvernement ont agi pour restreindre l’accès public au procès, lequel est habituellement autorisé aux États-Unis. Ils ont agi selon les termes de la Classified Information Procedures Act (CIPA) qui vise à réduire la diffusion d’informations classifiées pendant les procès publics. Les procureurs ont aussi demandé l’application de la règle du témoin silencieux (les témoins doivent substituer certains termes par d’autres lorsqu’il s’agit de sujets sensibles). Le gouvernement fédéral américain n’utilise qu’occasionnellement cette règle ; sa légalité a été contestée en regard des cinquième et sixième amendements de la Constitution des États-Unis54. Le gouvernement a aussi déposé une pétition pour restreindre les contre-interrogatoires des témoins55 dans le but d’empêcher les jurés de parcourir les articles du journaliste Siobhan Gorman, parus dans le journal Baltimore Sun, sur la NSA et le Trailblazer Project56 et dans le but d’empêcher la défense d’argumenter ou d’introduire des preuves sur la dénonciation par les lanceurs d’alerte et sur l’excès de classification57. Par ailleurs, la poursuite a transmis à la cour des pièces à conviction sous scellés, pièces que la défense avaient déjà déposées51,58. La poursuite a argué que la CIPA s’appliquait aussi aux documents qui n’étaient pas classifiés et a demandé à la cour de n’utiliser que des documents caviardés59.

Selon le gouvernement fédéral américain, les articles du journaliste Siobhan Gorman parus dans le journal The Baltimore Sun portaient préjudice. « Le seul objectif de l’admission de ces articles de journaux était d’amener la NSA en courtrad 16. » Les procureurs ont aussi déclaré que la poursuite n’avait aucune obligation légale, selon l’Espionage Act of 1917note 2, de démontrer que l’intention de Drake était d’attenter à la sécurité nationale. En ce qui a trait à l’excès de classification invoquée par la défense, le gouvernement a répliqué que cette revendication rendrait confus le jury et n’était donc pas pertinente en ce qui concerne les accusations60. Le gouvernement a aussi argué que n’importe quel débat lors du procès sur la définition du concept légal de l’action d’alerter ne serait probablement qu’un échange sans intérêt vis-à-vis les accusations.

Au début juillet, peu de temps après la diffusion d’un épisode de 60 Minutes — le 22 mai 2011 — sur Thomas Drake, le gouvernement abandonne toutes les charges contre Drake et renonce à demander une peine de prison en contre-partie d’un aveu de culpabilité pour abus d’utilisation des systèmes informatiques de la NSA, crime couvert par la Computer Fraud and Abuse Act.

Drake est condamné à un an de probation et du travail communautaire61. Lorsqu’il prononce la sentence, le juge Richard D. Bennett déclare que le gouvernement a été « déraisonnable »trad 17 d’accuser une personne de crimes graves pouvant lui valoir 35 ans de prison, car la poursuite a abandonné toutes les charges importantes à la veille du procès61. Le juge a aussi rejeté la demande d’une grosse amende, faisant observer que Drake est financièrement dévasté à la suite du montant à verser aux avocats (82 000 US$), ainsi que de la perte de son fonds de pension et de son salaire annuel de 150 000 US$61.
2012 et après

Drake apparaît dans un épisode du Daily Show, le 6 août 2012, pour échanger sur ses épreuves62. En septembre, il envoie un message audio pour signifier son appui au CryptoParty63. La même année, il reçoit le Hugh M. Hefner First Amendment Award pour souligner sa protection du premier amendement de la Constitution des États-Unis64. Le 15 mars 2013, il prononce un discours devant le National Press Club sur la communauté du renseignement américaine et son attitude envers les lanceurs d’alerte65.

Edward Snowden suit l’exemple de Drake lorsqu’il fuite des informations sur les programmes de surveillance de la NSA66. Snowden préfère dénoncer publiquement plutôt que de passer par les canaux prévus par la loi à cause des représailles que Drake et d’autres lanceurs d’alerte ont subi. Son geste inspire John Crane, adjoint de l’IG du DoD chargé d’accompagner les lanceurs d’alerte, à devenir lanceur d’alerte lorsqu’il observe que l’IG du DoD a transmis illégalement l’identité de Drake au département de la Justice des États-Unis (DoJ)67.

Après 2012, Drake commence à militer contre la surveillance massive de l’État (surveillance State), prononçant régulièrement des conférences et se prêtant aussi à des entrevues68. L’un des thèmes récurrents, surnommé « privacy exercise », commence ainsi : « Mettez votre existence complète dans une boîte — vos documents, vos comptes de banque, vos mots de passe, tout —, et donnez-la à un étranger — un compatriote américain — pour qu’il la garde en sécurité. Le feriez-vous ? »trad 18 Il affirme que personne n’a encore répondu oui69.

Lors d’une entrevue en septembre 2013, Drake revient encore sur les problèmes de la NSA, déclarant qu’ils sont chroniques et systémiques ; pour lui, il faut la démanteler puis la reconstruire complètement70. Le 3 juillet 2014, Drake et William Binney, ancien directeur technique de la NSA, témoignent devant le comité parlementaire allemand qui enquête sur les écoutes électroniques de la NSA visant les hommes et femmes politiques allemands. Il décrit les liens étroits de la NSA et du BND, un service secret allemand71,72. Le 10 novembre 2015, il apparaît sur un panel commandé par le PEN American Center ; le thème portait sur les « sources secrètes »73.

Dans toute l’histoire des États-Unis, seules quatre personnes ont été poursuivies par le gouvernement fédéral américain pour « rétention volontaire d’information sur la Défense nationale »trad 19,note 2. La plupart des poursuites portent sur la « transmission »trad 20 de documents classifiés à des tierces parties, ce dont Drake n’a jamais été accusé. Cette clause de l’Espionage Act of 1917 a été ajoutée en 1950 à l’époque du maccarthysme, en tant que partie du McCarran Internal Security Act26. Anthony Russo et Daniel Ellsberg sont les premiers à être accusés de rétention volontaire dans le cadre de l’affaire des Pentagon Papers, qu’Ellsberg a transmis au New York Times, affaire qui a mené à une poursuite judiciaire en 1971 qui fait date aux États-Unis : New York Times Co. v. United States. Au terme de ce procès, la cour reconnaît entre autres le droit des médias de publier des informations sensibles. Les accusations contre Russo et Ellsberg ont été rejetées en 1972 à cause de l’inconduite du gouvernement fédéral. La seconde poursuite commence en 1985 contre Samuel Loring Morison, un analyste de l’US Navy qui a vendu des photos satellites à Jane’s Defence Weekly ; il recevra la grâce présidentielle. La troisième poursuite, lancée en 2005, vise deux employés du lobby pro-Israël American Israel Public Affairs Committee et un employé du département de la Défense (DoD) : United States v. Franklin, Rosen, and Weissman. Seul l’employé du DoD a été condamné8.
Dans la culture

Thomas Drake apparaît dans le documentaire Silenced (2014)74,75 mis en nomination pour un Emmy Award en 2016. Explorant un thème semblable à Citizenfour, qui montre entre autres les actions entreprises à l’encontre d’Edward Snowden, Silenced a été sélectionné par plusieurs festivals de cinéma et a reçu plusieurs prix76, avant d’être diffusé sur plusieurs réseaux de télévision câblée en mars 2015.

Toujours en 2014, la participation de Drake au programme Thinthread, les accusations ultérieures, la collaboration d’autres personnes (Roark, Binney, Wiebe et Loomis) et Edward Snowden sont les principaux sujets abordés dans le documentaire de PBS : United States of Secrets77.

Drake apparaît à plusieurs reprises dans le documentaire Nothing to Hide (2016), qui se penche sur la surveillance de masse et la vie privée sur Internet (en)78.

REF.: https://fr.wikipedia.org/wiki/Thomas_Drake

 

Cyberespionnage: Créé par les Five Eyes, avec pour nom de code Eonblue

 

 Cyberespionnage: Créé par les Five Eyes, avec pour nom de code Eonblue

Selon https://crypto.quebec/a-propos/ , EONBLUE est une plateforme de détection de cybermenaces gérée par le CSTC -  Centre de la sécurité des télécommunications du Canada,ce programme serait en service depuis 2002. ''Hello Canada'' ;-).

Un système créé par les Five Eyes, avec pour nom de code Eonblue, était utilisé pour surveiller les utilisateurs de Blackberry en Arabie saoudite. Parmi tous les pays où se sont déroulées des manifestions en lien avec le Printemps arabe, l’Arabie saoudite a été la plus rapide pour mater la révolte dans ses rues de façon brutale. L’intérêt des Five Eyes pour les télécommunications saoudiennes pendant l’opération Irritant horn pourrait indiquer qu’une telle surveillance servait deux objectifs. La NSA et ses partenaires, dans un acte de guerre de l’information, auraient pu , d’une part piloter des manifestants dans leur soulèvement antigouvernemental en Égypte, en Libye, en Syrie et dans d’autres pays, via des opérations MITM, et d’autre part avertir les autorités saoudiennes au sujet des manifestations qui se préparaient chez elles.

 Résumés SIGINT canadiens: Tout sur EONBLUE!!!


Le Centre de la sécurité des télécommunications (CST)1 est l'organisme de renseignement électromagnétique étranger du Canada. Le CSE fonctionne depuis la Seconde Guerre mondiale. Bien qu'il existe depuis aussi longtemps et qu'il fonctionne en vertu d'un mandat législatif depuis 2001, ce n'est que lorsque les journalistes publient des articles basés sur des documents fournis pour la première fois par Edward Snowden et d'autres dénonciateurs que les Canadiens ont commencé à prêter attention aux actions de l'agence. Les histoires ont révélé la mesure dans laquelle le CST s'est associé à d'autres agences de renseignement occidentales ainsi que les types d'activités auxquelles le CST a lui-même participé.

Le CST est chargé de remplir une série de mandats conformément au paragraphe 273.64(1) de la Loi sur la défense nationale. Elles sont:

    acquérir et utiliser des renseignements électromagnétiques étrangers conformément aux priorités du gouvernement du Canada en matière de renseignement
    aider à protéger l'information électronique et les infrastructures d'information importantes pour le gouvernement du Canada; et
    fournir une assistance technique et opérationnelle aux agences fédérales chargées de l'application de la loi et de la sécurité, notamment en les aidant à obtenir et à comprendre les communications collectées sous les autorités légales de ces agences.

Cette page rassemble actuellement des documents divulgués liés aux opérations du CST ainsi que les rapports annuels publiés par le Bureau du commissaire du Centre de la sécurité des télécommunications. À l'avenir, il comprendra également les documents de procédure du CST qui ont été rendus publics en vertu de la législation sur l'accès à l'information et la protection des renseignements personnels (AIPRP). Bien que j'aie essayé de rassembler de manière exhaustive ces documents, il est tout à fait possible que j'en ai raté certains ; si vous avez un document principal et souhaitez que je l'ajoute aux listes ci-dessous, veuillez me contacter avec le document et quelques informations à ce sujet. Un référentiel plus complet des documents divulgués par Snowden de toutes les agences est disponible dans les archives de surveillance Snowden.
Table des matières

Documents du CST divulgués

    Les hackers sont aussi des humains : les cybermeneurs mènent aux Cl
    CROSSHAIR - Des partenaires étrangers comblant les lacunes HF / DF pour les États-Unis
    Tradecraft d'analyse de réseau synergique : équipe d'avancement de réseau Tradecraft (NTAT)
    CASCADE : architecture conjointe de cybercapteurs
    Activités de R&D sur la défense des cyberréseaux
    Découverte des cybermenaces ITS/N2E du CSTC
    Capacités du CSTC en matière de cybermenace : SIGINT et STI : une approche de bout en bout
    Détection des cybermenaces
    Relation de renseignement de la NSA avec la Nouvelle-Zélande
    Procès-verbal du Forum de développement SIGINT (SDF)
    Open Source pour la cyberdéfense/progrès
    Qui d'autre cible votre cible ? Collecte de données volées par des pirates
    LA LÉVITATION et l'hypothèse FFU
    Faites attention à cet homme derrière le rideau : Découvrir les clients sur l'infrastructure CNE
    CSE SIGINT Cyber ​​Discovery : Résumé de l'effort actuel
    Tendances TLS : une table ronde sur l'utilisation actuelle et les orientations futures
    Détection automatique des NOC
    2e SCAMP au processus CSEC (partie d'AURORAGOLD)
    Partage d'informations cryptologiques sur les opérations de réseau informatique avec des partenaires étrangers
    LANDMARK (Associé à HACIENDA)
    Pays, territoires et individus tiers non ciblés
    SNOWGLOBE : de la découverte à l'attribution
    Analyse du profilage IP et impacts de la mission
    Briefing thématique mobile
    Relation de renseignement de la NSA avec le Centre de la sécurité des télécommunications Canada (CSTC)
    INFORMATEUR SANS FRONTIÈRES Documents (Collection)
    Document de travail de Cheltenham (fragments)
    Et ils ont dit aux titans : faites attention aux olympiens dans la maison
    La NSA apporte son soutien aux prochains sommets du G8 et du G20 au Canada
    Guide CABINE (NSA)
    Protocole d'accord (MOU) entre l'Agence de sécurité nationale/Service central de sécurité (NSA/CSS) et l'unité nationale israélienne SIGINT (INSU) concernant la protection des personnes américaines

Documents de procédures du CST

    À venir

Rapports du Bureau du commissaire du Centre de la sécurité des télécommunications

    Rapport annuel 2016-2017
    Rapport annuel 2015-2016
    Rapport annuel 2014-2015
    Rapport annuel 2013-2014
    Rapport annuel pour 2012-2013
    Rapport annuel pour 2011-2012
    Rapport annuel pour 2010-2011
    Rapport annuel pour 2009-2010
    Rapport annuel pour 2008-2009
    Rapport annuel pour 2007-2008
    Rapport annuel pour 2006-2007
    Rapport annuel pour 2005-2006
    Rapport annuel pour 2004-2005
    Rapport annuel pour 2003-2004
    Rapport annuel pour 2002-2003
    Rapport annuel pour 2001-2002
    Rapport annuel pour 2000-2001
    Rapport annuel pour 1999-2000
    Rapport annuel pour 1998-1999 (externe)
    Rapport annuel pour 1997-1998 (externe)
    Rapport annuel pour 1996-1997 (externe)

Notes de bas de page
Documents du CST divulgués

Les documents du CST sont répertoriés avec les documents les plus récemment publiés vers le haut de la liste. J'ai essayé de rassembler la version la plus complète des documents et je n'ai inclus que les entrées où un document a été rendu public.

Dans la mesure du possible, j'ai identifié la date de création des documents et fourni un résumé des aspects du document pertinents pour le CST. J'ai noté la longueur des documents mais, dans le processus, j'exclus les informations ajoutées par les organisations de défense des droits aux documents sources (par exemple, leurs notes sur la source originale du document). J'ai également inclus un lien vers l'article qui a été associé pour la première fois au document.

Les documents étaient souvent produits par les partenaires les plus proches du CST qui, collectivement, forment le réseau de renseignement « Five Eyes ». Ce réseau comprend le CSE, la National Security Agency (NSA), le Government Communications Headquarters (GCHQ), l'Australian Signals Directorate (ASD)2 et le Government Communications Security Bureau (GCSB)).

Tous les documents sont téléchargeables sur ce site. Bien que j'héberge les documents, ils ont tous été publiés pour la première fois par une autre partie.
Les hackers sont aussi des humains : les cybermeneurs mènent aux Cl

Résumé : Cet ensemble de diapositives présente une méthode utilisée par le CST pour exposer la structure de gestion et les opérateurs derrière les activités d'exploitation de réseaux informatiques (CNE), à savoir l'utilisation de tâches d'infrastructure passive et le chaînage de contacts. En surveillant l'infrastructure qui a été exposée par des logiciels malveillants ou la diffusion de contenu pour des sessions réseau anormales, le CSE a ensuite été en mesure de retracer les opérations MAKERSMARK (c'est-à-dire russes).

Bien que les systèmes moins attribués de MAKERSMARK puissent rendre difficile la traçabilité efficace des opérateurs, ceux-ci ont été mal utilisés et les opérateurs ont exposé des informations associées à leur vie personnelle. De plus, l'organisation de développement responsable des systèmes moins attribués de MAKERSMARK a été infectée par crimewave et le CSE (ou d'autres agences de renseignement amies) a donc pu collecter des informations qui étaient exfiltrées vers des organisations criminelles.

Le diaporama se termine par l'avertissement qu'il est important de suivre les pistes de contre-espionnage, rapidement, car les opportunités ne durent pas éternellement. De plus, il y avait un avertissement qu'à mesure qu'un programme CNE mûrit, comme celui géré par MAKERSMARK, la sécurité opérationnelle associée au programme mûrira de la même manière.

Publication du document : 2 août 2017
Document daté : Post 2009
Longueur du document : 13 pages
Article connexe : La Maison Blanche déclare que les pirates informatiques russes sont trop bons pour être pris, mais un partenaire de la NSA les a traités de "crétins"
Télécharger le document : Les pirates sont aussi des humains : les cybermeneurs mènent à des clients potentiels
Classification : TS//SI/REL TO CAN, AUS, GBR, NZL et USA
Agence auteur : CSE
Noms de code : MAKERSMARK
CROSSHAIR - Des partenaires étrangers comblant les lacunes HF / DF pour les États-Unis

Résumé : Ce bref article identifie le nombre de ressources tierces de radiogoniométrie haute fréquence (HF/DF), ainsi que les tiers contributeurs, qui composent collectivement le réseau CROSSHAIR avec les actifs du gouvernement américain. Le nom de couverture CROSSHAIR fait référence à un projet qui a regroupé toutes les ressources HF/DF du Service Cryptologic Element (SCE) des États-Unis et permet l'opérabilité des données avec des partenaires.

Le Canada possédait quatre sites au moment de la rédaction, la Grande-Bretagne six, et l'Australie et la Nouvelle-Zélande un chacun. Des tiers, dont l'Autriche, le Danemark, l'Éthiopie, la Hongrie, Israël, l'Inde, l'Italie, le Japon, la Jordanie, la Corée, les Pays-Bas, la Norvège, le Pakistan, l'Arabie saoudite, la Suède et Taïwan, ont également partagé avec la NSA et, dans certains cas, directement les uns avec les autres. La NSA reconnaît, dans ce document, que sans les collaborateurs tiers, la NSA manquerait d'un réseau mondial pour la radiogoniométrie.

Publication du document : 24 avril 2017
Document daté du : 25 février 2005
Longueur du document : 1 page
Article connexe : Le Japon a conclu des accords secrets avec la NSA qui ont élargi la surveillance mondiale
Télécharger le document : CROSSHAIR — Des partenaires étrangers comblant les lacunes HF/DF pour les États-Unis
Classification : TOP SECRET//SI//TK//REL TO USA, AUS, CAN, GBR, NZL
Agence auteur : NSA
Noms de code : CROSSHAIR
Tradecraft d'analyse de réseau synergique : équipe d'avancement de réseau Tradecraft (NTAT)

Résumé : Ce jeu de diapositives présente certaines des activités et des réussites de la Network Tradecraft Advancement Team (NTAT). Les diapositives se concentrent sur la façon de développer et de documenter le métier qui est utilisé pour corréler les données téléphoniques et Internet. Deux ateliers distincts sont discutés, l'un en 2011 et l'autre en 2012. Les résultats de l'atelier comprenaient l'identification des données potentiellement convergées (entre les données de téléphonie et Internet) ainsi que la géolocalisation des serveurs d'applications de téléphonie mobile. Une analyse commune d'identification de la passerelle mobile a été adoptée par trois agences, dont DSD. Le NTAT avait également adopté le système de documentation de l'artisanat CRAFTY SHACK au cours de ces ateliers.

Dans une expérience, baptisée IRRITANT HORN, les analystes ont cherché à savoir s'ils pouvaient identifier des connexions entre un pays potentiellement « révolutionnaire » et des serveurs d'applications mobiles. Ils ont corrélé avec succès les connexions avec les serveurs d'applications, ce qui a ouvert la possibilité de mener des attaques Man in the Middle ou d'effectuer des opérations sur les appareils mobiles, ainsi que la possibilité de récolter des données en transit et au repos à partir des appareils. Et le profilage des serveurs d'applications mobiles, il semble qu'EONBLUE ait été utilisé pour collecter des informations sur une société nommée Poynt ; l'application de cette société était utilisée par des utilisateurs de Blackberry, et les serveurs présentés étaient situés à Calgary, Alberta (Canada).

Les agences ont réussi à trouver des vulnérabilités dans UCWeb, qui s'est avérée divulguer IMSI, MSISDN, IMEI et d'autres caractéristiques de l'appareil. Ces vulnérabilités ont été utilisées pour découvrir une cible et il a été déterminé que les vulnérabilités pourraient permettre à une agence SIGINT de fournir des logiciels malveillants à la cible. Un "microplugin" pour XKeyscore a été développé afin que les analystes puissent rapidement faire apparaître le matériel SIGINT lié à UCWeb. (REMARQUE : Le Citizen Lab a analysé les versions ultérieures d'UCWeb et a trouvé des vulnérabilités qui ont ensuite été corrigées par l'entreprise. Pour en savoir plus, voir : « A Chatty Squirrel : Privacy and Security Issues with UC Browser. »)

Document publié : 21 mai 2015
Document daté : 2012 ou plus tard
Longueur du document : 52 pages (diapositives et notes)
Article connexe : les agences d'espionnage ciblent les téléphones mobiles et les magasins d'applications pour implanter des logiciels espions
Télécharger le document : Synergiser l'analyse de réseau Tradecraft : Network Tradecraft Advancement Team (NTAT)
Noms de code mentionnés : ATLAS, ATHENA, BLAZING SADDLES, CRAFTY SHACK, DANAUS, EONBLUE, FRETTING YETI, HYPERION, IRRITANT HORN, MASTERSHAKE, PEITHO, PLINK, SCORPIOFORE
CASCADE : architecture conjointe de cybercapteurs

Résumé : Ce document traite de la configuration des réseaux de capteurs du CST à partir de 2011 et des plans du CST pour développer le réseau à l'avenir. La discussion n'a porté que sur les capteurs passifs et leur infrastructure de support. Deux systèmes de capteurs ont été identifiés, PHOTONIC PRISM, pour surveiller les réseaux du gouvernement du Canada, et EONBLUE, qui est un système SIGINT passif qui a été utilisé pour collecter des données « complètes », ainsi que pour effectuer des détections basées sur des signatures et des anomalies sur le trafic réseau.

Les systèmes EONBLUE ont été déployés dans certains réseaux gouvernementaux et ont également été utilisés pour surveiller les communications par satellite étranger (FORNSAT) ; il peut également être utilisé pour surveiller le trafic de télécommunications cellulaires ou radio. Le système INDUCTION, qui a des capacités similaires à EONBLUE, a été déployé au niveau national aux passerelles entre les domaines de réseau nationaux et internationaux. Le document traite également d'un programme de production et de traitement de métadonnées, THIRD-EYE, qui a fonctionné sur de nouveaux sites sélectionnés et d'un capteur non classifié, CRUCIBLE, qui a été conçu pour suivre les cibles dans les installations d'information compartimentées pré-sensibles (SCIF).

CASCADE est le nom de code d'un projet axé sur la normalisation de la sécurité des technologies de l'information (ITS) et des capteurs SIGINT, afin que les capteurs susmentionnés puissent être intégrés de manière transparente et permettent une plate-forme d'analyse commune pour les données capturées.

D'ici 2015, le CST espérait augmenter son accès à la source spéciale (SSO) pour inclure toutes les passerelles internationales accessibles à partir du Canada ainsi qu'un réseau de capteurs multicouches destiné à améliorer la sécurité des systèmes du gouvernement du Canada. De plus, la capacité opérationnelle devait être améliorée, de sorte que les capteurs SIGINT, ITS et partenaires cryptologiques interopéraient de manière transparente. On ne sait pas exactement ce que ces capteurs partenaires peuvent englober. L'autorité a également été recherchée pour les opérations "Effets", ainsi que l'infrastructure, les politiques et l'artisanat nécessaires pour mener de telles opérations.

Grâce à ces activités, le CST espérait détecter les menaces avant qu'elles ne pénètrent dans l'infrastructure nationale, identifier les exfiltrations et les systèmes de commandement et de contrôle, et transformer le réseau lui-même en un domaine défensif. Cet objectif final exigerait que le CSE soit en mesure de modifier les routes de trafic de données, d'éliminer silencieusement les paquets et d'insérer des charges utiles dans les paquets de données. Le CST considérait ces activités « défensives » étendues comme nécessaires parce que la défense des passerelles ou des nœuds terminaux était insuffisante pour protéger les systèmes gouvernementaux.

Si les capteurs étaient mis à niveau, le CST a suggéré que des changements aux interopérations de base de Five Eyes pourraient suivre. Ces changements comprenaient les éléments suivants : les pourboires et les files d'attente pourraient ne plus être utilisés pour partager les menaces contre les systèmes gouvernementaux et pourraient plutôt être utilisés exclusivement pour permettre la collecte de renseignements ; et il ne serait pas nécessaire de faire des demandes de tâches/ciblages concernant les acteurs communs qui ciblent le CST et les autres membres de l'alliance Five Eyes. Le résultat serait que le SIGINT étranger deviendrait un domaine de «chasse» et que la défense nationale serait intégrée au cœur même d'Internet - national et étranger - lui-même.

Publication du document : 23 mars 2015
Document daté : 2011
Longueur du document : 66 pages
Article connexe : La boîte à outils de cyberguerre du Centre de la sécurité des communications révélée
Télécharger le document : CASCADE : Architecture conjointe des cybercapteurs
Activités de R&D sur la défense des cyberréseaux

Résumé : Ce jeu de diapositives donne un aperçu des activités de recherche et de développement entreprises par le groupe Cyber ​​Network Defense (CND). L'objectif principal de CND à l'époque était sur PHOTONIC PRISM, un réseau de capteurs travail conçu pour protéger les réseaux et les appareils du gouvernement du Canada contre les menaces externes.

Le CND a principalement tiré parti de la R&D de partenaires externes car sa taille l'empêchait de mener des recherches de bas niveau. À titre d'exemple, il a utilisé POPQUIZ de R23 et un scanner de pièces jointes d'e-mail du GCHQ. Les projets dans lesquels CND était engagé à l'époque incluent PONYEXPRESS, un programme d'analyse des e-mails, le PHOTONIC PRISM mentionné précédemment et la défense dynamique activée par un logiciel installé sur le matériel Consumer Off The Shelf (COTS).

Le CND a noté que les défis comprenaient la durée de ses activités de recherche, la traduction des exigences classifiées dans un domaine non classifié, la participation appropriée de l'industrie et du milieu universitaire, et la politique, entre autres défis.

Publication du document : 23 mars 2015
Document daté : 2010
Longueur du document : 26 pages
Article connexe : La boîte à outils de cyberguerre du Centre de la sécurité des communications révélée
Télécharger le document : Activités de R&D pour la défense des cyberréseaux
Découverte des cybermenaces ITS/N2E du CSTC

Résumé : Ce jeu de diapositives fournit un contexte sur l'unité N2E de la sécurité des technologies de l'information (ITS), ses capacités existantes et une série d'expériences menées lors d'un atelier tenu en 2010 au Canada. L'équipe N2E a été créée en 2010 et utilise des données complètes et (à l'époque) progressait dans la mise en place de politiques pour utiliser les communications privées interceptées et partager ou accéder aux données partagées. Ils ont stocké des captures de paquets complets du trafic destiné au gouvernement du Canada pendant des jours, voire des mois, et des métadonnées pendant des mois, voire des années.

Le principal problème auquel était confronté N2E, ou peut-être plus largement le CST, était le volume de données acquises, conservées, résumées, analysées et présentées aux analystes. L'atelier de 2010 qui s'est tenu au Canada a relevé certains de ces défis en élaborant un processus visant à réduire le volume d'informations de métadonnées d'URL d'e-mail présentées aux analystes, ce qui a réduit les taux de faux positifs par rapport aux inspections d'URL. L'atelier a également analysé comment prédire si les pièces jointes des e-mails étaient malveillantes, ce qui a permis de réduire la rétention de données de 85 % avec seulement une perte de 1 à 3 % d'e-mails "intéressants". Les participants ont également étudié comment détecter plus efficacement les acteurs malveillants qui utilisaient des téléchargements masqués de l'environnement de préinstallation Windows (PE), ce qui a permis de progresser dans l'identification des types de téléchargements incriminés.

Publication du document : 23 mars 2015
Document daté : 2010
Longueur du document : 60 pages
Article connexe : La boîte à outils de cyberguerre du Centre de la sécurité des communications révélée
Télécharger le document : CSTC ITS/N2E Cyber ​​Threat Discovery
Capacités du CSTC en matière de cybermenace : SIGINT et STI : une approche de bout en bout

Résumé : Ce jeu de diapositives donne un aperçu de la manière dont SIGINT et la sécurité des technologies de l'information (ITS) du gouvernement interagissent pour les opérations "défensives". L'analyse du trafic de données est effectuée par des capteurs du gouvernement du Canada, ainsi que par ceux mandatés par le SCRS pour une collecte complète garantie, ceux situés aux passerelles Internet canadiennes/internationales, ceux situés dans l'Internet élargi, ainsi que le trafic de données analysé sur les appareils CST a « exploité ».

EONBLUE est utilisé pour l'analyse des réseaux non gouvernementaux du Canada et implique la découverte de cibles, leur suivi, ainsi que la production de métadonnées à partir du trafic exposé à EONBLUE. EONBLUE est un système basé sur l'inspection approfondie des paquets qui, lorsqu'il est associé à une prise complète garantie, permet au CSE de découvrir les balises du réseau. Le programme équivalent d'ITS est PHOTONIC PRISM.

Les capteurs réseau de CSE traitaient 125 Go/heure de métadonnées HTTP et s'appuyaient sur 50 To de stockage à haut débit pour effectuer des analyses en amont de la réception des données. ITS a stocké 300 To de données complètes, soit l'équivalent de mois de trafic.

Lors du processus d'analyse des données des capteurs ITS et SIGINT, des anomalies et des événements sont détectés, qui sont traités par des moteurs d'alerte et des serveurs logiques de décision ; les informations logiques sont partagées avec tous les partenaires de Five Eyes à la suite de la résolution de Sydney. La logique est basée, en partie, sur les informations de basculement et de repérage; ces informations peuvent faciliter les avertissements ou les indications d'attaques en temps quasi réel et permettre une défense collaborative dans toutes les nations Five Eyes.

Le CST a identifié la « défense dynamique » comme impliquant à la fois des actions localisées à la périphérie du réseau par les STI, ainsi que des opérations au cœur de l'Internet mondial pour agir sur le trafic de données et le modifier, ainsi que l'implantation de logiciels malveillants sur des infrastructures étrangères pour sonder, explorer et découvrir l'espace réseau de l'adversaire et recueillir des informations et des outils utilisés par les adversaires. Ces opérations « défensives » peuvent être complétées par des technologies d'influence, telles que les signatures d'entreprises antivirus, le développement de relations avec les chaînes d'approvisionnement ou des manœuvres politiques. Ces activités sont séparées dans le « spectre des activités cybernétiques » des opérations actives et des techniques de tromperie.

La dernière diapositive identifie les prochaines étapes, qui incluent la synchronisation des missions SIGINT et ITS, le financement, le développement de capacités de capteur et d'analyse conjointes et plus d'international l interopérabilité et coordination des politiques. Il a également, en contrepartie, des modifications législatives. Les modifications spécifiques ne sont pas mentionnées dans la diapositive.

Publication du document : 23 mars 2015
Date du document : 2009 ou 2010 (éventuellement ; document non daté officiellement)
Longueur du document : 46 pages
Article connexe : La boîte à outils de cyberguerre du Centre de la sécurité des communications révélée
Télécharger le document : Capacités du CSTC en matière de cybermenace : SIGINT et STI : une approche de bout en bout
Détection des cybermenaces

Résumé : ce document résume la manière dont le CST surveille les menaces à l'aide du système EONBLUE, parallèlement aux systèmes traditionnels de collecte de métadonnées. Ces derniers systèmes sont déployés sur des sites de sources spéciales (SSO), reposent sur un accès par mandat et exploitent les communications par satellite étrangères. Des capteurs nationaux et SIGINT (internationaux) sont utilisés pour détecter et atténuer les menaces, la Chine (c'est-à-dire SEEDSPHERE) étant utilisée comme exemple d'acteur menaçant récurrent.

OLYMPIA, le moteur de connaissances réseau de CSE, est utilisé pour analyser ou trier les données stockées dans un stockage en cluster à haut débit sur les sites de collecte de CSE afin de faciliter la collecte des réponses DNS et de dédupliquer les données.

La détection des Fast Flux Botnets, appelés CROSSBOW, repose sur des algorithmes de découverte de cibles déployés sur les sites CSE SSO ; les capteurs sur lesquels ces algorithmes s'exécutent peuvent être des serveurs CRUCIBLE qui sont des systèmes passifs à faible coût et à déploiement rapide qui utilisent des signatures de ciblage Top Secret/Special Intelligence dans des installations d'information compartimentées non sensibles (SCIF).

Publication du document : 23 mars 2015
Document daté : novembre 2009
Longueur du document : 14 pages
Article connexe : La boîte à outils de cyberguerre du Centre de la sécurité des communications révélée
Télécharger le document : Détection des cybermenaces
Relation de renseignement de la NSA avec la Nouvelle-Zélande

Résumé : Ce document résume l'état des relations entre la NSA et le Bureau de la sécurité des communications du gouvernement néo-zélandais (GCSB). Le GCSB a été contraint de consacrer davantage de ressources à l'audit de conformité à la suite de recommandations après avoir outrepassé son autorité pour aider les forces de l'ordre nationales, mais continue de se concentrer sur les priorités du gouvernement et des cinq yeux et est encouragé à poursuivre l'interopérabilité technique avec la NSA et d'autres nations FVEY. .

La NSA fournit au GCSB "le trafic brut, le traitement et les rapports sur les cibles d'intérêt commun, en plus des conseils techniques et des prêts d'équipement". Le GCSB fournit principalement à la NSA un accès à des communications qui resteraient autrement inaccessibles. Ces communications comprennent : la Chine, les communications diplomatiques japonaises/nord-coréennes/vietnamiennes/sud-américaines, les pays insulaires du Pacifique Sud, le Pakistan, l'Inde, l'Iran et l'Antarctique, ainsi que la police française et les activités d'essais nucléaires en Nouvelle-Calédonie.

Il convient de noter que GCSB est membre de SIGINT Seniors Pacific (SSPAC) (comprend l'Australie, le Canada, la France, l'Inde, la Corée, la Nouvelle-Zélande, Singapour, la Thaïlande, le Royaume-Uni et les États-Unis) ainsi que SIGINT Seniors Europe (SSEUR) ( comprend l'Australie, la Belgique, le Canada, le Danemark, la France, l'Allemagne, l'Italie, les Pays-Bas, la Nouvelle-Zélande, la Norvège, l'Espagne, la Suède, le Royaume-Uni et les États-Unis).

Publication du document : 11 mars 2015
Document daté : avril 2013
Longueur du document : 3 pages
Article connexe : Révélations de Snowden : la portée des espions néo-zélandais s'étend à travers le monde
Télécharger le document : Relations de renseignement de la NSA avec la Nouvelle-Zélande
Classification : TOP SECRET//SI//REL TO USA, FVEY
Agence auteur : NSA
Noms de code : Aucun
Procès-verbal du Forum de développement SIGINT (SDF)

Résumé : Ce document résume l'état du développement des signaux parmi les Five Eyes (FVEY). Il décrit d'abord les impératifs fondamentaux du groupe, notamment : s'assurer que les meilleures technologies sont identifiées pour être utilisées et liées à la capacité qu'elles apportent ; que la mise en forme de la NSA (ciblage des routeurs) s'améliore (tout en notant que pour le CSE et le GCSB, la mise en forme implique «l'engagement de l'industrie et la flexion de la collecte»); améliorer le modèle de collecte et d'analyse de la vie ; améliorer la géolocalisation des adresses IP qui couvre les domaines Internet, radiofréquence et GSM ; analyser l'impact de la convergence des systèmes et technologies de communication sur les opérations SIGINT.

Les problèmes de confidentialité étaient considérés comme étant sur le radar des groupes, au motif que "l'équipe de surveillance et de conformité de la NSA manquait de ressources et était surchargée". Ni le GCSB ni le DSD n'ont été en mesure de parrainer ou d'auditer les comptes d'analystes similaires à la NSA, et le CSTC a indiqué qu'il avait envisagé de financer des postes d'audit ; bien que rejetée à l'époque, la perspective a resurgi. À l'époque, les FVEY non-NSA réfléchissaient à la manière de mettre en place des comptes de "super-utilisateurs", où un personnel spécifique exécuterait des requêtes pour des homologues qui ne sont pas directement autorisés à exécuter des requêtes sur des bases de données sélectives.

Le GCSB, en particulier, développait sa première équipe d'analystes de réseau en octobre 2009 et devait prouver l'utilité de l'analyse de réseau afin d'obtenir du personnel supplémentaire pour prendre en charge ultérieurement les tâches d'exploitation de STATEROOM et de réseau informatique. En outre, le GCSB devait poursuivre ses travaux dans la région du Pacifique Sud, ainsi que l'expansion des efforts et des capacités d'accès au câble au cours d'une poussée d'un mois. Il y avait également un problème où 20% de la main-d'œuvre analytique du GCSB n'avait pas accès au XKEYSCORE de DSD, ce qui était un problème étant donné que le GCSB fournissait à la NSA des données brutes. La raison pour laquelle des outils externes sont nécessaires pour accéder aux données est que le personnel du GCSB n'a pas le droit d'accéder aux données néo-zélandaises.

Publication du document : 11 mars 2015
Document daté : 8-9 juin 2009
Longueur du document : 3 pages
Article connexe : Révélations de Snowden : la portée des espions néo-zélandais s'étend à travers le monde
Télécharger le document : procès-verbal du Forum de développement SIGINT (SDF)
Classification : TOP SECRET//COMINT//REL TO USA, AUS, CAN, GBR, NZL
Agence auteur : NSA
Noms de code : CABINE, XKEYSCORE
Open Source pour la cyberdéfense/progrès

Résumé : Cette entrée du wiki du GCHQ identifie les sources de données actuelles et futures pour les actions de cyberdéfense. Toutes les sources sont open source. À l'avenir, il est prévu d'intégrer des sources de renseignements sur les vulnérabilités, des données d'infrastructure en masse, ainsi qu'un ensemble de divers types de données (par exemple, quelles adresses .gov.uk doivent être protégées).

L'entrée wiki décrit GhostNet comme un "serveur ORB connu" sous l'en-tête "Bulk Infrastructure Data". GhostNet est une infrastructure de commandement et de contrôle principalement utilisée par la République populaire de Chine pour cibler des organisations telles que les ambassades étrangères et le gouvernement tibétain en exil. La recherche sur GhostNet a été menée par un ensemble d'institutions universitaires, dont le Citizen Lab de la Munk School of Global Affairs de l'Université de Toronto. Les boîtes de relais opérationnelles (ORB) sont utilisées par les agences SIGINT comme mandataires et permettent aux acteurs SIGINT de prendre des mesures que les victimes ne peuvent pas attribuer positivement à l'agence responsable. Il n'est pas clair d'après le document si le GCHQ ou d'autres agences Five Eyes prévoient d'utiliser l'infrastructure GhostNet comme leurs propres ORB ou s'ils ont classé les activités provenant de cette infrastructure comme probablement attribuables à des groupes de renseignement chinois.

Publication du document : 4 février 2015
Document daté du : Dernière mise à jour le 25 juin 2012
Longueur du document : 2 pages
Article connexe : les agences d'espionnage occidentales comptent secrètement sur les pirates pour obtenir des renseignements et de l'expertise
Télécharger le document : Open Source pour la cyberdéfense/Progress
Qui d'autre cible votre cible ? Collecte de données volées par des pirates

Résumé : Ce bulletin de la NSA décrit la découverte par le CST et le GCHQ de pirates qui exfiltrent les données de messagerie des cibles d'intérêt pour les agences. Le CSE et le GCHQ ont exploité des données volées par des pirates (nom de code INTOLERANT) et les ont utilisées pour enrichir les propres magasins de données des agences. Les victimes ciblées par les hackers, et donc exploitées par les agences SIGINT, appartenaient aux catégories suivantes : diplomates indiens et marine indienne, diplomates d'Asie centrale, défenseurs chinois des droits de l'homme, personnalités tibétaines pro-démocratie, militants ouïghours, représentant spécial européen en Afghanistan et photojournalistes indiens et le gouvernement tibétain en exil. Bien que l'on pense que les pirates sont parrainés par l'État, ni le CST ni le CCHQ ne peuvent attribuer positivement leurs actions à un État particulier. Les institutions canadiennes, américaines ou d'autres nations Five Eyes qui assurent la liaison avec les victimes peuvent avoir été informées du piratage, bien qu'il n'y ait aucune preuve que les victimes réelles aient été informées.

Publication du document : 4 février 2015
Document daté du : 5 juin 2010 (dernière mise à jour le 11 octobre 2012)
Longueur du document : 1 page
Article connexe : les agences d'espionnage occidentales comptent secrètement sur les pirates pour obtenir des renseignements et de l'expertise
Télécharger le document : Qui d'autre cible votre cible ? Collecte de données volées par des pirates
LA LÉVITATION et l'hypothèse FFU

Résumé : Ce jeu de diapositives du CST décrit l'efficacité du programme LEVITATION. LEVITATION est utilisé pour surveiller et identifier les personnes qui téléchargent des documents à partir de sites de téléchargement de fichiers gratuits (FFU). Au moment de la présentation, LEVITATION surveillait les URL des fichiers, ainsi que les numéros séquentiels, les noms des sélecteurs et les termes de recherche sur le Web. À l'avenir, le CSE a proposé d'intégrer les données GPS, les appareils proches des lieux, les lacunes de téléphonie, les informations sur les cibles des agences SIGINT étrangères et les données d'appels manqués. Le document ne précise pas en quoi l'intégration de ces données enrichirait le programme LEVITATION.

LEVITATION commence par le centre d'opérations Web (CWOC) du CSE identifiant les URL sur les sites FFU renvoyant vers des documents d'intérêt. Une source spéciale, nommée ATOMIC BANJO, fournit chaque jour 10 à 15 millions d'"événements de téléchargement" au CSE à partir de 102 sites FFU. Tous ces événements sont disponibles à l'aide d'OLYMPIA, le moteur de connaissances réseau de CSE. Le CSE examine les événements agrégés par rapport à la liste d'environ 2 200 URL du CWOC, qui génère environ 350 événements de téléchargement intéressants chaque mois. Il n'est pas clair si les données d'événement restantes sont purgées des bases de données du CST.

Les informations provenant d'événements de téléchargement intéressants sont ensuite traitées par CSE. L'Etablissement examine d'abord si l'adresse IP associée à l'événement de téléchargement a été vue cinq heures avant et après l'événement par les messages d'écoute de Five Eyes. Si l'adresse IP a été vue, les bases de données MARINA ou MUTANT BROTH sont interrogées pour corréler l'adresse IP avec des identifiants d'identification personnelle dans ces bases de données, identifiant ainsi la personne qui a probablement téléchargé le matériel en question. MARINA est une base de données NSA contenant des métadonnées interceptées et la base de données MUTANT BROTH du GCHQ contient des métadonnées similaires. Bien qu'il n'en soit pas question ailleurs, le CST note des succès issus de la surveillance des téléchargements de fichiers - puis de la diffusion de renseignements à des organisations telles que la CIA - pour la collecte de renseignements également.

Publication du document : 27 janvier 2014
Date du document : Inconnu (après mars 2012)
Longueur du document : 21 pages
Article connexe : CSE suit quotidiennement des millions de téléchargements : documents Snowden
Télécharger le document : LÉVITATION et l'hypothèse FFU
Faites attention à cet homme derrière le rideau : Découvrir les clients sur l'infrastructure CNE

Résumé : Ce document du CSE décrit comment l'Etablissement analyse ses cibles dans le cadre des opérations de Contre-Exploitation des Réseaux Informatiques (CCNE). Les opérations du CCNE s'appuient sur les données du groupe Computer Network Exploitation (CNE), du groupe Global Network Discovery et du groupe Cyber ​​Counter Intelligence. Les analyses du CCNE identifient idéalement si une partie étrangère a déjà exploité un dispositif ou une infrastructure ciblée par le CSE et, si oui, quelle partie l'a fait.

Le CCNE s'appuie fortement sur les sorties de WARRIOR PRIDE, qui est la plateforme d'exploitation du réseau informatique du CSE. Ces sorties, nommées REPLICANTFARM, permettent au CCNE d'identifier si d'autres acteurs, technologies d'implant ou autres anomalies sont présentes sur l'appareil ou le système ciblé.3

Dans le cadre de ses opérations, le CCNE peut utiliser des infrastructures secrètes identifiées et cartographiées dans le cadre du système LANDMARK. L'infrastructure, appelée «boîtiers relais opérationnels» (ORB), permet au CCNE de nier de manière plausible ses activités.

L'essentiel de ce document est que le CCNE fournit une connaissance de la situation au CNE, dans la mesure où il alerte l'équipe du CNE d'une éventuelle cohabitation d'infrastructures communes. Le CCNE permet également au CSE d'identifier de nouveaux acteurs lors de la détection d'anomalies inédites et permet à l'Établissement de suivre les acteurs connus. En conséquence, le CCNE est en mesure de « déconflit » lorsqu'une infrastructure est envahie par plusieurs agences étatiques tout en fournissant des informations sur le métier et les outils utilisés par les acteurs étrangers découverts dans le monde.

Publication du document : 17 janvier 2015
Document daté : juin 2010
Longueur du document : 30 pages
Article connexe : La course aux armements numériques : la NSA prépare l'Amérique pour la bataille future
Télécharger le document : Faites attention à cet homme derrière le rideau : découvrez des extraterrestres sur l'infrastructure du CNE
CSE SIGINT Cyber ​​Discovery : Résumé de l'effort actuel

Résumé : Ce jeu de diapositives CSE décrit l'intégration entre les unités Counter Computer Network Exploitation (CCNE), Global Network Discovery (GND) et Cyber ​​Counterintelligence (CNT1). Alors que le CCNE et le GND sont chargés de la collecte des données, le CNT1 est chargé de l'analyse et du reporting des données découvertes.

Le CCNE utilise des plugins de WARRIOR PRIDE pour analyser les données envoyées par les appareils et systèmes exploités par le CSE. L'objectif du CCNE est de déterminer si un implant non CSE ou un autre acteur a déjà exploité l'appareil ou le système, ainsi que d'évaluer si des fichiers anormaux sont présents sur l'appareil ou le système, ou si un trafic de données anormal provient de l'appareil ou du système.

GND utilise plus de 200 capteurs déployés dans le monde pour suivre les menaces ; ce réseau de capteurs porte le nom de code EONBLUE. Les capteurs EONBLUE évoluent jusqu'à 10 Gbps de trafic de données et il était prévu d'augmenter les vitesses de détection à des débits de plusieurs 10 Gbps. Le trafic de données est analysé pour découvrir les cibles (en s'appuyant sur le plug-in de reconnaissance de machine SLIPSTREAM WARRIOR PRIDE), ainsi que pour suivre les cibles (nom de code SNIFFLE) et extraire les métadonnées du système de noms de domaine et HTTP.

Dans le cadre de travaux futurs, GND prévoyait de tester la capacité d'EONBLUE à envoyer des métadonnées dans une base de données XKEYSCORE localisée et, potentiellement, à partager des métadonnées avec les bases de données XKEYSCORE d'autres pays. XKEYSCORE est utilisé pour conserver les données de communication brutes et non sélectionnées. GND prévoyait également de partager les données CSE EONBLUE avec le programme EONBLUE du DSD. Curieusement, le GND dispose également d'un système de détection QUANTUM, qui est un système qui injecte des paquets de données dans le trafic réseau pour les activités d'exploitation du réseau informatique.

Le CNT1 analyse les données ou pistes fournies par les groupes CCNE et GND pour rechercher des pistes intéressantes et procède à des analyses des informations issues des autres groupes. Les données reçues peuvent provenir de sources spéciales, de données garanties et de seconde partie, d'analyses de logiciels malveillants et d'ingénierie inverse, ainsi que d'analyses médico-légales d'implants. L'analyse est utilisée pour produire des rapports sur les anomalies ou les activités constatées par le CCNE et le GND, ainsi que pour tenter d'attribuer les données ou les pistes à des acteurs spécifiques.

Publication du document : 17 janvier 2015
Document daté : novembre 2010
Document longueur : 22 pages
Article connexe : "La course aux armements numériques : la NSA prépare l'Amérique pour la bataille future"
Télécharger le document : CSEC SIGINT Cyber Discovery : résumé de l'effort actuel
Tendances TLS : une table ronde sur l'utilisation actuelle et les orientations futures

Résumé : Inspiré par ses collègues britanniques, le CSE a lancé des analyses du trafic SSL/TLS garanti4 qu'il capture. Ces analyses sont conçues pour identifier les tendances et permettre au CST de comprendre de manière proactive l'état du chiffrement en ligne. Sur le plan opérationnel, le projet permet aux analystes d'identifier les services connus utilisés par une cible et les changements dans l'utilisation de TLS par la cible. Le projet a également fourni des analyses plus larges du trafic TLS des sites.

Le jeu de diapositives tire des exemples du trafic garanti, bien qu'il comprenne également un organigramme de la réception du trafic SSL/TLS à partir d'une source spéciale. Le trafic source spécial, contrairement au trafic garanti, est transmis à OLYMPIA. OLYMPIA est le moteur de connaissance du réseau de CSE.

Les travaux futurs comprenaient la réalisation d'analyses de tendances sur le trafic de source spéciale. Ces travaux comprenaient également l'amélioration de la collaboration entre l'équipe chargée de l'analyse des tendances TLS et l'équipe d'exploration de données de l'établissement.

Publication du document : 28 décembre 2014
Document daté : Inconnu
Longueur du document : 15 pages
Article connexe : Prying Eyes : Inside the NSA's War on Internet Security
Télécharger le document : TLS Trends Une table ronde sur l'utilisation actuelle et les orientations futures
Détection automatique des NOC

Résumé : Les principaux réseaux d'entreprise gèrent leurs réseaux à partir des centres d'opérations réseau (NOC). Les analystes du GCHQ et du CSE ont évalué s'ils pouvaient mettre en œuvre NOCTURNAL SURGE dans OLYMPIA, le moteur de connaissances du réseau du CSE, lors d'une réunion en mars 2011 au Canada.

Les analystes utilisent NOCTURNAL SURGE pour trouver des NOC. Le système s'appuie sur des bases de données préexistantes pour identifier les "listes de contrôle d'accès". Le GCHQ puise dans la base de données 5-ALIVE et le CSE dans les bases de données HYPERION. Les listes de contrôle d'accès incluent les ports couramment utilisés que les administrateurs réseau utilisent pour initier des connexions TELNET ou SSH aux systèmes qu'ils administrent. Des informations de port similaires sont enregistrées pour les lignes de télétype virtuel (VTY); VTY est un terme hérité associé aux interfaces de ligne de commande des systèmes plus anciens (par exemple, les routeurs).

Après avoir passé au peigne fin les bases de données à l'aide de NOCTURNAL SURGE et identifié les NOC, les NOC peuvent être ciblés pour des opérations d'exploitation du réseau informatique. L'exploitation consiste à corréler les adresses IP des CNO avec les identifiants affiliés de la base de données MUTANT BROTH. MUTANT BROTH stocke les corrélations entre les adresses IP avec les cookies et d'autres données d'identification. Le système d'exploitation QUANTUM INSERT5 est utilisé pour cibler les administrateurs après que les analystes ont corrélé les données NOC avec les informations de MUTANT BROTH.

Publication du document : 13 décembre 2014
Document daté : Inconnu
Longueur du document : 25 pages
Article connexe : Operation Socialist : L'histoire intérieure de la façon dont des espions britanniques ont piraté la plus grande entreprise de télécommunications de Belgique
Télécharger le document : Détection automatisée des NOC
2e SCAMP au processus CSEC (partie d'AURORAGOLD)

Résumé : Le document SCAMP décrit les progrès réalisés dans l'amélioration et l'évaluation des capacités existantes du CST axées sur le renseignement électromagnétique. Le document ne traite pas explicitement de l'exploitation du réseau du CST ou des opérations de défense du gouvernement.

De nouveaux systèmes (IRASCIABLE RABBIT et TOYGRIPPE) ont été intégrés à OLYMPIA selon le document. Des progrès ont également été réalisés dans l'identification des réseaux privés virtuels d'intérêt pour la cryptanalyse. Le document SCAMP note qu'il y a eu des "progrès" dans le partage et l'analyse des documents d'itinérance internationale collectés par SIGINT (c'est-à-dire IR.21).

Le document spécifique au CSE fait partie d'une plus grande collection de documents liés au projet AURORAGOLD. AURORAGOLD conserve et collecte des informations sur les propriétés des réseaux de télécommunications mobiles afin que les analystes puissent comprendre l'état actuel des réseaux des systèmes mobiles mondiaux, les tendances de l'état de ces réseaux et les évolutions futures des réseaux. Une grande partie de ces informations est contenue dans les documents IR.21. Sont également inclus des sélecteurs d'e-mail et des métadonnées capturées avec le contenu des documents eux-mêmes. La page 38 des documents AURORAGOLD indique qu'il n'y avait pas eu d'analyse importante de l'infrastructure canadienne des télécommunications mobiles au moment où le document a été produit.

De manière significative, une diapositive liée à AURORAGOLD comprend des puces sur la recherche ou l'introduction de vulnérabilités dans les infrastructures mobiles pour une exploitation ultérieure (page 45). Il n'est pas clair s'il s'agit d'un flux de processus pour le groupe AURORAGOLD lui-même ; il est possible qu'une autre partie au sein de la NSA ou d'une autre agence soit responsable de ces aspects du renseignement électromagnétique ou du processus de développement.

Publication du document : 4 décembre 2014
Document daté : Inconnu
Longueur du document : 1 page (SCAMP) // 63 pages (AURORAGOLD)
Article associé : Opération AURORAGOLD : comment la NSA pirate les réseaux de téléphonie mobile dans le monde
Télécharger le document : SCAMP // AURORAGOLD
Partage du cryptage des opérations du réseau informatique
Information Cryptologique avec des partenaires étrangers

Résumé : Ce document de la NSA identifie l'étendue de la coopération de la NSA avec les organisations militaires et de renseignement d'autres nations. Le document de politique s'applique au partage d'informations sur l'exploitation et la défense des réseaux informatiques entre les agences de renseignement, telles que le CST, ainsi qu'au partage d'informations cryptologiques avec d'autres armées. Le Canada figure sur la liste des partenaires de « niveau A : coopération globale », avec l'Australie, la Nouvelle-Zélande et le Royaume-Uni.

Publication du document : 30 octobre 2014
Date du document : Inconnu (probablement le 23 novembre 2005 d'après la date de déclassification du 23 novembre 2029)
Longueur du document : 2 pages
Article connexe : El CNI facilitó el espionaje masivo de EEUU a España (ES) // L'Espagne est de connivence avec la NSA qui espionne ses citoyens, rapporte un journal espagnol
Télécharger le document : Partage d'informations cryptologiques sur les opérations de réseau informatique avec des partenaires étrangers
LANDMARK (Associé à HACIENDA)

Résumé : La présentation LANDMARK décrit le plan du CST visant à automatiser l'identification des appareils pouvant être utilisés comme boîtiers de relais opérationnels. Ces cases (c'est-à-dire les appareils et systèmes informatiques liés à Internet) sont utilisées par le CST et d'autres partenaires du renseignement pour fournir un niveau de non-attribution pour leurs activités en ligne. Les boîtiers sont également utilisés pour accéder aux réseaux ou au trafic réseau.

Les analystes utilisent LANDMARK pour exécuter des requêtes sur l'ensemble des données accessibles via le moteur de connaissances du réseau OLYMPIA de CSE. Ces requêtes révèlent si un réseau est déjà connu pour être vulnérable sur la base de données historiques collectées accessibles à l'aide d'OLYMPIA, ainsi que si un périphérique du réseau a déjà été compromis. Cette analyse prend moins de 5 minutes et a été intégrée dans OLYMPIA lui-même.

LANDMARK opère au sein ou dans le cadre d'un projet de renseignement international plus large nommé HACIENDA. HACIENDA a été développé par le GCHQ et les agences partenaires comprennent le CSE, la NSA et l'ASD. HACIENDA cartographie les contours d'Internet en effectuant des analyses de port des appareils connectés à Internet. Les adresses IP de ces appareils sont corrélées avec des informations de géolocalisation pour situer les adresses identifiées et leurs ports correspondants. Les partenaires du renseignement utilisent les informations d'HACIENDA pour mener des opérations d'exploitation de réseaux informatiques et de découverte de signaux.

Publication du document : 15 août 2014
Document daté : Inconnu
Longueur du document : 6 pages (LANDMARK) // 26 pages (le programme HACIENDA)
Article associé : NSA/GCHQ : Le programme HACIENDA pour la colonisation d'Internet
Télécharger le document : LANDMARK // HACIENDA et LANDMARK
Pays, territoires et individus tiers non ciblés

Résumé : Ce document publié par la NSA identifie les territoires contrôlés ou administrés par les États-Unis, l'Australie, le Royaume-Uni et la Nouvelle-Zélande. Le Canada est noté comme dépourvu de tout territoire au-delà de ses frontières nationales. Les territoires contrôlés ou administrés par les membres du réseau de renseignement Five Eyes ne peuvent pas être ciblés par d'autres membres de l'alliance du renseignement électromagnétique.

La deuxième page du document juxtapose les différentes exigences d'autorisation de ciblage du renseignement électromagnétique entre les cinq nations susmentionnées. Cette juxtaposition comprend les limites du CST à cibler les ressortissants au Canada, les ressortissants à l'étranger, les ressortissants étrangers au Canada et les ressortissants étrangers à l'étranger. Bien qu'il ne soit pas inclus dans le document, le CST peut cibler et cible effectivement les Canadiens lorsqu'il s'acquitte de son mandat d'aider les organismes fédéraux chargés de l'application de la loi et de la sécurité.

Publication du document : 30 juin 2014
Document daté du : 8 janvier 2007
Longueur du document : 2 pages
Article associé: La Cour a donné à la NSA une large marge de manœuvre en matière de surveillance, selon des documents
Télécharger le document : pays, territoires et individus tiers non ciblés
SNOWGLOBE : de la découverte à l'attribution

Résumé : La branche de contre-espionnage du CST a identifié un programme de renseignement basé sur un logiciel espion, nommé SNOWGLOBE, qui pourrait avoir été conçu par le service de renseignement français. SNOWGLOBE a été trouvé à l'aide du système de détection d'anomalies REPLICANTFARM qui fait partie de la plateforme d'exploitation du réseau informatique WARRIOR PRIDE du CST.

Diverses versions des implants de logiciels espions ont été découvertes depuis novembre 2009 (SNOWBALL 1, SNOWBALL 2 et SNOWMAN). Ensemble, ils composent le programme SNOWGLOBE. L'infrastructure du programme a été identifiée à l'aide du système de collecte passive du CSE (EONBLUE). Des infrastructures ont été trouvées aux États-Unis, au Canada, au Royaume-Uni, en République tchèque, en Pologne et en Norvège. L'infrastructure a été trouvée sur des services d'hébergement gratuits ainsi que sur des systèmes non libres existants. Le CST n'a pas pu déterminer si l'accès à ces systèmes impliquait l'acteur étranger utilisant un exploit ou un accès spécial à la source, ou une combinaison des deux.

Il a été découvert que le logiciel espion avait infecté des organisations iraniennes (par exemple, l'Organisation de l'énergie atomique), européennes (par exemple, l'Association financière européenne), africaines et canadiennes. Un organe de presse canadien de langue française était s également infecté par SNOWGLOBE. D'après les victimes, le CST ne croyait pas que SNOWGLOBE correspondait à un profil de cybercriminalité. Au moment où le CST a présenté ces conclusions, il ne pouvait pas attribuer positivement SNOWGLOBE ou une agence de renseignement française particulière, ni identifier la ou les personnes qui la dirigeaient, et le CSE ne savait pas non plus comment l'agence française avait eu accès aux parties non libres de son infrastructure.

REF.:  https://christopher-parsons.com/resources/cse-summaries/

 

samedi 26 novembre 2022

Hackers: Paragon (NTFS for Mac),et Frostwire (P2P) potentiellement malicieux

 Hackers: Paragon (NTFS for Mac),et Frostwire (P2P)  potentiellement malicieux

 

 Le logiciel ,hors apps store de Paragon ,nommé NTFS for Mac,souvent installé sur un iMac a partir du site web du fabricant pourrait être la source du lien http www.h.parrable.com qui a été stoppé par le router wifi Hélix(dans ce cas-ci) ,ci-dessous.

 


parrable.com a été créé en 2014,avec godaddy,le régistrant name est absent,l'adminstrateur est privé,dans le secteur de l'Arizona aux USA,infecte votre navigateur et vous redirege vers des sites ou pop-up malicieux.Alors vous pouvez gérer les sites dans les exceptions (gérer les exceptions dans vie privée et sécurité de votre navigateur),fréquemment ce sont des sites non https.!!!Ou s'il s'agit d'un trojan installé,il peut vous rediriger vers un autre site comme 35.196.86.86 mettons,(selon reddit.com),le add-on ublock,bloque ça aisément.Ça été reporté par Microsoft ,il y a 2 mois !

 L’enquête de Wired révèle également le nom d’autres sociétés potentiellement clients de Corellium comme Paragon, Pwnzen Infotech (Pangu Team – Chine), Elecomsoft (Russie) ou encore Cellebrite. Cette dernière propose un kit pour pirater un iPhone, écoulé auprès de milliers d’agences étatiques dont peut-être la France et le Royaume-Uni. Le coffret contient notamment un ordinateur avec spyware préinstallé, qu’il suffit ensuite de brancher au mobile cible pour en télécharger le contenu même sans connaître le code d’accès.https://www.iphon.fr/post/corellium-travaille-createurs-pegasus.

 

 

Une autre attaque ici,concernant le logiciel p2p Frostwire,qui en l'ouvrant pop-up en arrière plan une page web qui sert a vous espionner et vous rediriger vers des sites malicieux.Donc,activer vos add-on de navigateur de protection comme adguard browser!

Le routeur wifi ,ci-dessous, a intercepté ,une atteinte a une adresse IP malicieuse,provenant de la côte d'ivoire,a l'IP 154.68.30.182,le fournisseur est Orange en France,le asn provider est 29571,directement a abidjan,a la jonction des rues blv du 6 février et de ave gabriel dadié,plus  précisément a ivory coast.déja 12 attaques sont reportées.  (a un autre moment l'IP venait du Bénin : 41.138.89.229 , c'est toujours le même scénario lol )

Le hacker essait de se connecter a votre cell iPhone14 ici,connecter en réseau wifi ,car Frostwire (le popup),dans un telechargement actif a partir du p2p torrent oxtorrent(contrôler par le hadopi/ARCOM   https://www.leconomiste.com/article/898480-loi-hadopi-premi-re-condamnation , avec sentence bonbon de 150 Euro lol).

C'est quoi le ARCOM: https://www.boutique-box-internet.fr/actualites/arcom-fusion-hadopi-csa/ , comme le FrostWire avec son popup, ouvre l'accès a votre wifi domestique.(voir la note et photo ci-dessus, de h.parrable.com),on pourrait dire que les risques sont atténués si vous activer un vpn gratos dans votre navigateur comme browsec vpn et choisir un fournisseur internet neutre comme videotron ,autre que Bell qui soutient les majors des droits d'auteur lol ;-)Si vous recez un courriel de bureau d'avocat concernat ce sujet des droits d'auteurs (ARCOM/hadopi en Europe seulement,le Canada c'est une zone grise,Merci M.Trudeau) ,faut ne pas répondre et ça devient lettre mort et si on ne répondant pas, vous n'êtes pas coupable,en ne répondant pas a ce courriel,même s'il est bidon,et même s'ils ont votre adresse IP et l'heure de votre download!

 

Détails du serveur:

 The Autonomous System (AS) number 29571 is assigned to Orange Côte d'Ivoire. AS29571 is assigned on 2017-12-29 by the Regional Internet Registry afrinic. The country of registration is Ivory Coast. At least 917 domains are hosted on AS29571. Examples of domains are orange.ci and cci.ci. At least 16 name servers are hosted on AS29571. Examples of name servers are webhosting.aviso.ci and abidjan.aviso.ci. There are 1011 IPv4 prefixes announced by AS29571. Examples of prefixes are 41.66.0.0/18 and 41.66.9.0/24. There are 5 IPv6 prefixes announced by AS29571. Examples of prefixes are 2001:42d8:1112::/48 and 2001:42d8:1113::/48.

Selon dnslytics,  https://dnslytics.com/bgp/as29571 , les noms de responsables apparaissent dans le whois !https://dnslytics.com/bgp/as29571

Toujours activer votre routeur contre les ip malicieuses,les amis!Toujours de soutirer des infos personnels ,mots de passe, numéro de carte de crédits etc


Annexe:Extrait du courriel d'avocat

 Vidéotron(fournisseur internet) a reçu un avis concernant une présumée violation de la Loi sur le droit d'auteur commise au moyen de l'adresse IP correspondant à votre compte. Nous sommes tenus par la loi de vous transmettre cet avis, que vous trouverez en pièce jointe.

Vidéotron agit comme intermédiaire du détenteur de droit d'auteur dans cette transmission. Nous ne sommes donc pas en mesure de vous conseiller sur cet avis ni d'en vérifier le contenu ou la validité.

Il se peut que le détenteur de droits d'auteur vous demande un montant pour régler le présumé litige. Avant d'agir, nous vous suggérons fortement de vous adresser à un conseiller juridique.

Notez que nous n'avons communiqué aucun de vos renseignements personnels au détenteur de droit d'auteur ou à ses représentants et que nous ne fournirons ce type d'information que sous le coup d'une ordonnance émise par un juge.

En terminant, nous vous recommandons :
• de sécuriser tout accès à votre réseau Internet sans-fil pour éviter qu'un tiers ne l'utilise sans votre consentement;
• d'informer les autres utilisateurs de votre accès Internet de l'avis ci-joint.


Ref. No.BLLVT55705439290

Claimant:BL Productions LLC

Contact Information:Copyright Enforcement Group

AIRD & BERLIS LLP, Barristers & Solicitors
Brookfield Place Suite 1800
Box 754 181, Bay Street
Toronto, ON M5J 2T9
Email: copyrightenforcement@airdandberlis.com
Attention:  R. Clark
Claimant¿s Interest in the Work:
The Claimant owns the copyright in the Work, and it has the right to prosecute infringers of such copyright.
Location Data:96.xx.xxx.41
Infringement Claimed:
Utilizing the BitTorrent peer-to-peer network, the Account Holder downloaded and/or unlawfully offered to upload the Work in contravention of the Claimant¿s copyright in respect of same.

Date and Time of Claimed infringement:2022--xx-xx , 23:xx:xxhrs
2022-08-14
We are the lawyers for the Claimant.
On behalf of the Claimant, notice of claimed infringement is hereby given pursuant to section 41.25 of the Copyright Act R.S.C. 1985, c. C-42 (the ¿Copyright Act¿).  You, or someone using your internet account, have infringed the Claimant¿s copyright in the motion picture Blacklight  (the ¿Work¿).  Details of this infringement are provided in this notice in accordance with subsection 41.25(2) of the Copyright Act, namely that utilizing the BitTorrent peer-to-peer network, you, or someone using your internet account, downloaded and/or unlawfully offered to upload the Work in contravention of the Claimant¿s copyright in respect of same.
Pursuant to section 41.26 of the Copyright Act, we confirm your internet service provider¿s obligation upon receipt of this notice to:
(a) as soon as feasible forward this notice electronically to you and inform the Claimant of its forwarding or, if applicable, of the reason why it was not possible to forward it; and
(b) retain records that will allow for your identification, and do so for six months beginning on the day on which the notice of claimed infringement is received.
This is a second notice of infringement of the Work.  We previously sent you a notice of infringement regarding this work on July 11, 2022.  You were given notice at that time to remove from your computer and internet network all copies of the Work.  We have investigated and have determined that you have not done so.

We therefore reserve all of the Claimant¿s rights to bring a copyright infringement proceeding against you without further notice, including a formal legal request to your ISP to compel your identity.
THIS IS A VERY SERIOUS MATTER AND WE URGE YOU TO SEEK LEGAL COUNSEL TO REVIEW THIS LETTER. IF YOU DO NOT HAVE OR KNOW YOUR OWN LAWYER, OR IF YOU REQUIRE LEGAL COUNSEL PLEASE CONTACT YOUR LOCAL LAW SOCIETY OR BAR ASSOCIATION FOR ASSISTANCE.
NO COURT HAS YET DETERMINED THAT YOU ARE LIABLE FOR COPYRIGHT INFRINGEMENT FOR THE DISTRIBUTION OF ANY OF THE CLAIMANTS¿ MOVIES.
NO COURT HAS YET DETERMINED THAT YOU ARE LIABLE FOR ANY DAMAGES FOR ANY POTENTIAL COPYRIGHT INFRINGEMENT.
Please review these materials carefully and seek legal advice.  Please note that Aird & Berlis LLP is not your lawyer and we represent the Claimant.
If you wish to discuss this matter you we request that you communicate with us through the email address copyrightenforcement@airdandberlis.com.
Govern yourself accordingly.
Yours truly,
Aird & Berlis LLP



REF.:   https://dnslytics.com/bgp/as29571

Corellium a travaillé avec les créateurs de Pegasus, le logiciel espion

 

 

Corellium a travaillé avec les créateurs de Pegasus, le logiciel espion

L’information pourrait jouer en défaveur de l’éditeur lors d’un procès contre Apple.


Publié le

 

Par

iPhon.fr


Un document préparé par Apple dans le cadre d’un procès contre Corellium et découvert par nos confrères de chez Wired dévoile que le développeur a proposé sa solution de virtualisation d’iOS à des acteurs malveillants. Parmi ceux-ci, on retrouve le NSO Group, qui commercialise le spyware Pegasus. Un programme capable de s’introduire dans presque n’importe quel iPhone pour en siphonner toutes les données personnelles.

Avec ceci, Corellium aurait également collaboré avec DarkMatter. La firme, désormais fermée, avait par le passé prouvé ses liens avec le gouvernement des Émirats arabes unis. Un pays soupçonné d’espionner ses journalistes et de limiter la liberté d’expression, notamment en ce qui concerne les opposants politiques. Sur place, des officiels auraient pu profiter de l’émulateur sous forme de version d’essai. Les entités concernées n’ont cependant avoué aucune vente auprès des autorités en charge du dossier, du moins pour le moment.

Des clients plus que douteux

Avec ceci, l’enquête de Wired révèle également le nom d’autres sociétés potentiellement clients de Corellium comme Paragon, Pwnzen Infotech (Pangu Team – Chine), Elecomsoft (Russie) ou encore Cellebrite. Cette dernière propose un kit pour pirater un iPhone, écoulé auprès de milliers d’agences étatiques dont peut-être la France et le Royaume-Uni. Le coffret contient notamment un ordinateur avec spyware préinstallé, qu’il suffit ensuite de brancher au mobile cible pour en télécharger le contenu même sans connaître le code d’accès.

Corellium se défend

De son côté, Corellium a déjà pris connaissance des fichiers réunis par l’accusation et qui comportent tout de même plus de cinq cents pages. Pour la principale intéressée, rien à se reprocher : alors que celle-ci aurait pu choisir de “profiter” de ces organisations à risque, ses équipes auraient finalement “choisi” de “ne pas” le faire. Les vendeurs auraient par ailleurs pour obligatoire de restreindre les ventes à une liste précise de prospects, pour éviter les fuites.

Le logiciel en ligne de Corellium ne serait ainsi proposé qu’à “moins de soixante pays“. Du côté des principaux acheteurs, on retrouve la police, les services de renseignement ou encore certains organes de lutte antiterroriste. Officiellement, du moins…

 

REF.:   https://www.iphon.fr/post/corellium-travaille-createurs-pegasus

mardi 22 novembre 2022

Ransomware en tant que service (RaaS) expliqué


Ransomware en tant que service (RaaS) expliqué

Kurt Baker - 7 février 2022
Qu'est-ce qu'un ransomware en tant que service (RaaS) ?

Le ransomware en tant que service (RaaS) est un modèle commercial entre les opérateurs de ransomware et les affiliés dans lequel les affiliés paient pour lancer des attaques de ransomware développées par les opérateurs. Considérez le ransomware en tant que service comme une variante du modèle commercial de logiciel en tant que service (SaaS).

Les kits RaaS permettent aux affiliés qui n'ont pas les compétences ou le temps de développer leur propre variante de ransomware d'être opérationnels rapidement et à moindre coût. Ils sont faciles à trouver sur le dark web, où ils sont annoncés de la même manière que les biens sont annoncés sur le web légitime.

Un kit RaaS peut inclure une assistance 24h/24 et 7j/7, des offres groupées, des avis d'utilisateurs, des forums et d'autres fonctionnalités identiques à celles proposées par les fournisseurs SaaS légitimes. Le prix des kits RaaS varie de 40 $ par mois à plusieurs milliers de dollars – des montants insignifiants, étant donné que la demande de rançon moyenne en 2021 était de 6 millions de dollars. Un acteur menaçant n'a pas besoin que chaque attaque réussisse pour devenir riche.
Comment fonctionne le modèle RaaS

Le tableau ci-dessous décrit les rôles que jouent les opérateurs et les affiliés dans le modèle RaaS :
Opérateurs RaaS Affiliés RaaS
Recrute des affiliés sur les forums Paye pour utiliser le rançongiciel

Accepte des frais de service par rançon collectée
Donne aux affiliés l'accès à un "créez votre propre
panneau du package de ransomware »

Crée un "Command and Control" dédié
tableau de bord permettant à l'affilié de suivre le colis Cibles victimes

Définit les demandes de rançon

Configure les messages utilisateur post-compromis
Compromet les biens de la victime

Maximise l'infection en utilisant "vivre de la terre"
techniques

Exécute les rançongiciels
Met en place un portail de paiement des victimes

« Assiste » les affiliés dans les négociations avec les victimes Communique avec la victime via des portails de chat ou
autres canaux de communication
Gère un site dédié aux fuites Gère les clés de déchiffrement

Il existe quatre modèles de revenus RaaS courants :

    Abonnement mensuel pour un forfait
    Les programmes d'affiliation, qui sont identiques à un modèle de frais mensuels, mais avec un pourcentage des bénéfices (généralement 20 à 30 %) revenant au développeur du rançongiciel
    Frais de licence uniques sans partage des bénéfices
    Intéressement pur aux bénéfices

Les opérateurs RaaS les plus sophistiqués proposent des portails qui permettent à leurs abonnés de voir l'état des infections, le total des paiements, le total des fichiers cryptés et d'autres informations sur leurs cibles. Un affilié peut simplement se connecter au portail RaaS, créer un compte, payer avec Bitcoin, entrer des détails sur le type de malware qu'il souhaite créer et cliquer sur le bouton Soumettre. Les abonnés peuvent avoir accès à l'assistance, aux communautés, à la documentation, aux mises à jour de fonctionnalités et à d'autres avantages identiques à ceux dont bénéficient les abonnés aux produits SaaS légitimes.

Le marché du RaaS est concurrentiel. En plus des portails RaaS, les opérateurs RaaS mènent des campagnes marketing et ont des sites Web qui ressemblent exactement aux campagnes et sites Web de votre propre entreprise. Ils ont des vidéos, des livres blancs et sont actifs sur Twitter. RaaS est une entreprise, et c'est une grande entreprise : les revenus totaux des ransomwares en 2020 étaient d'environ 20 milliards de dollars, contre 11,5 milliards de dollars l'année précédente.

Certains exemples bien connus de kits RaaS incluent Locky, Goliath, Shark, Stampado, Encryptor et Jokeroo, mais il y en a beaucoup d'autres et les opérateurs RaaS disparaissent, se réorganisent et réapparaissent régulièrement avec des variantes de ransomware plus récentes et meilleures.
Rapport CrowdStrike sur les menaces mondiales 2022

Téléchargez le rapport 2022 sur les menaces mondiales pour découvrir comment les équipes de sécurité peuvent mieux protéger les personnes, les processus et les technologies d'une entreprise moderne dans un paysage de menaces de plus en plus inquiétant.
Télécharger maintenant
Exemples de RaaS
Côté obscur

DarkSide est une opération RaaS associée à un groupe eCrime suivi par CrowdStrike sous le nom de CARBON SPIDER. Les opérateurs DarkSide se concentraient traditionnellement sur les machines Windows et se sont récemment étendus à Linux, ciblant les environnements d'entreprise exécutant des hyperviseurs VMware ESXi non corrigés ou volant les informations d'identification de vCenter. Le 10 mai, le FBI a publiquement indiqué que l'incident du Colonial Pipeline impliquait le rançongiciel DarkSide. Il a été rapporté plus tard que Colonial Pipeline avait volé environ 100 Go de données sur son réseau et que l'organisation aurait payé près de 5 millions de dollars américains à une filiale de DarkSide.
REvil

REvil, également connu sous le nom de Sodinokibi, a été identifié comme le logiciel de rançon à l'origine de l'une des demandes de rançon les plus importantes jamais enregistrées : 10 millions de dollars. Il est vendu par le groupe criminel PINCHY SPIDER, qui vend du RaaS sous le modèle d'affiliation et prend généralement 40 % des bénéfices.

Semblable aux fuites initiales de TWISTED SPIDER, PINCHY SPIDER avertit les victimes de la fuite de données prévue, généralement via un article de blog sur leur DLS contenant des exemples de données comme preuve (voir ci-dessous), avant de publier l'essentiel des données après un certain temps. REvil fournira également un lien vers le blog dans la note de rançon. Le lien affiche la fuite à la victime affectée avant d'être exposée au public. Lors de la visite du lien, un compte à rebours commencera, ce qui entraînera la publication de la fuite une fois la quantité donnée de temps s'est écoulé.

exemple de reevil ransomware dls
Dharma

Les attaques du rançongiciel Dharma ont été attribuées à un groupe de menaces iranien à motivation financière. Ce RaaS est disponible sur le dark web depuis 2016 et est principalement associé aux attaques RDP (Remote Desktop Protocol). Les attaquants exigent généralement 1 à 5 bitcoins de cibles dans un large éventail d'industries.
Dharma n'est pas contrôlé de manière centralisée, contrairement à REvil et aux autres kits RaaS.

Les variantes du Dharma proviennent de nombreuses sources, et la plupart des incidents dans lesquels CrowdStrike a identifié le Dharma ont révélé une correspondance de près de 100 % entre les exemples de fichiers. Les seules différences étaient les clés de chiffrement, l'e-mail de contact et quelques autres éléments pouvant être personnalisés via un portail RaaS. Parce que les attaques Dharma sont presque identiques, les chasseurs de menaces ne sont pas en mesure d'utiliser un incident pour en savoir plus sur qui est derrière une attaque Dharma et comment ils fonctionnent.
LockBit

En développement depuis au moins septembre 2019, LockBit est disponible en tant que RaaS, annoncé aux utilisateurs russophones ou anglophones avec un garant russophone. En mai 2020, une filiale exploitant LockBit a publié une menace de fuite de données sur un forum criminel populaire en langue russe :

exemple de message de rançongiciel lockbit

En plus de la menace, l'affilié fournit une preuve, telle qu'une capture d'écran d'un exemple de document contenu dans les données de la victime. Une fois la date limite passée, l'affilié est connu pour publier un lien mega[.]nz pour télécharger les données de la victime volée. Cette filiale a menacé de publier les données d'au moins neuf victimes.
Voir Crowdstrike Falcon en action

Découvrez comment fonctionne le portail de rançon mis en place par CIRCUS SPIDER et pourquoi NetWalker s'est avéré être un logiciel de rançon en tant que service (RaaS) si efficace.
Télécharger maintenant
Prévenir les attaques RaaS

La récupération après une attaque de ransomware est difficile et coûteuse, et par conséquent, il est préférable de les empêcher complètement. Les étapes pour empêcher une attaque RaaS sont les mêmes que pour empêcher toute attaque de ransomware, car RaaS n'est qu'un ransomware conçu pour être facilement utilisé par toute personne mal intentionnée :

    Implémentez une protection des points de terminaison fiable et moderne qui peut fonctionner sur des algorithmes avancés et fonctionne automatiquement en arrière-plan 24 heures sur 24.
    Effectuez des sauvegardes régulières et fréquentes. Si une sauvegarde n'est effectuée que tous les week-ends, une attaque de ransomware pourrait coûter une semaine entière de travail.
    Effectuez plusieurs sauvegardes et stockez-les sur des appareils distincts à différents endroits.
    Testez régulièrement les sauvegardes pour vous assurer qu'elles peuvent être récupérées.
    Maintenez un programme de correctifs rigoureux pour vous protéger des vulnérabilités connues et inconnues.
    Segmentez le réseau pour empêcher la prolifération dans l'environnement.
    Mettez en place une protection anti-hameçonnage avancée.
    Investissez dans la formation des utilisateurs et construisez une culture de la sécurité.


REF.:  https://www.crowdstrike.com/cybersecurity-101/ransomware/ransomware-as-a-service-raas/