Cyber-espionnage : la NSA en vadrouille sur l’Android Market ?
La NSA a travaillé, entre 2011 et 2012, sur la diffusion de logiciels espions vers les téléphones mobiles via l’Android Market (aujourd’hui Google Play).
La NSA et ses alliés ont-ils exploité les magasins d’applications Android de Google et Samsung pour diffuser des logiciels espions sur les téléphones mobiles ?
C’est ce que suggère un document exfiltré par le lanceur d’alertes Edward Snowden et publié ce mercredi par CBC News en association avec The Intercept.
Le projet en question était porté par l’unité Network Tradecraft Advanced Team, constituée de représentants des cinq pays de l’alliance « Five Eyes » : les Etats-Unis, le Canada, le Royaume-Uni, l’Australie et la Nouvelle-Zélande, entre lesquels un pacte de non-agression a été signé de longue date.
Des ateliers pratiques ont été organisés en novembre 2011 et en février 2012, avec un objectif : élaborer des « techniques innovantes » destinées à prendre le contrôle de téléphones mobiles pour en faire des dispositifs de surveillance.
L’outil de recherche XKeyscore, utilisé par les consultants des services secrets, a été mis à contribution pour identifier, sur les réseaux, le trafic provenant de smartphones. Les connexions vers les places de marché d’applications de Google (Android Market à l’époque) et Samsung ont ainsi pu être isolées. Au même titre d’ailleurs que celles vers les serveurs de mise à jour d’Android.
Une fois cette jonction effectuée, la NSA et ses alliés ont lancé l’opération Irritant Horn. Une attaque de type « man-in-the-middle » leur a permis d’intercepter le trafic entre les téléphones mobiles et les serveurs, puis d’y injecter des logiciels espions capables de récupérer des e-mails, des SMS, des historiques d’appels… et plus globalement toutes les données stockées sur l’appareil.
Les agences ont exploité d’autres pistes à partir de cette interception de trafic IP. Par exemple, l’envoi de « fausses informations » à des victimes ciblées, essentiellement dans un but de propagande. L’accès aux serveurs de Google et de Samsung leur ont aussi tout simplement permis de récupérer des masses d’informations sur les utilisateurs des kiosques d’applications.
Principale motivation des services de renseignement : éviter « un autre Printemps arabe ». Témoin le spectre de surveillance, concentré sur l’Afrique avec le Sénégal, le Soudan et le Congo en première ligne. Les serveurs visés se trouvaient quant à eux en France, à Cuba, au Maroc, en Suisse, aux Bahamas, aux Pays-Bas et en Russie.
Dans le cadre de leurs ateliers, la NSA et consorts ont aussi découvert des failles dans les versions anglaise et chinoise du navigateur Web UC Browser, utilisé surtout en Asie. L’espionnage pratiqué en conséquence a permis de récupérer des historiques de recherche ou encore des numéros de carte SIM (confer l’analyse technique du groupe de recherche universitaire Citizen Lab).
Le groupe Alibaba, qui édite UC Browser, a été averti de cette vulnérabilité en avril dernier. Un correctif a été appliqué depuis lors.
Crédit illustration : sakkmesterke – Shutterstock.com