#AuroraGold ou comment la #NSA #pirate les #téléphones du monde
▻http://www.mag-securs.com/news/articletype/articleview/articleid/34516/auroragold-ou-comment-la-nsa-pirate-les-telephones-du-monde.aspx
The intercept vient de publier un nouvel article sur l’opération AuroraGold visant à espionner l’ensemble des réseaux cellulaires ou, à tout le moins, se donner la possibilité d’espionner n’importe quel réseau. Pour ce faire, l’agence américaine s’est tout d’abord concentrée sur les messages électroniques de 1200 comptes associés aux opérateurs de télécommunications. Ce faisant, elle a pu obtenir des informations confidentielles à propos de ces réseaux lui permettant de les écouter voire de découvrir des vulnérabilités ou même introduire des failles afin de les exploiter pour la #surveillance. Karsten Nohl, cité par The Intercept indique que l’opération semble destinée à assurer un accès à pratiquement tous les réseaux de téléphonie cellulaire au monde, y compris ceux des pays soi-disant alliés ou amis comme l’Allemagne ou la France.
L’expert va plus loin en indiquant que la NSA a sciemment introduit des failles, ce qui contribue à dégrader la sécurité des réseaux. « Même si vous aimez la NSA et affirmez que vous n’avez rien à cacher, vous devriez être contre une politique qui introduit des failles de sécurité. Car lorsque la NSA introduit une faiblesse, une vulnérabilité, il n’y a pas qu’elle qui peut en tirer parti », précise M. Nohl.
Parmi les sociétés ou organisations espionnées, figure la #GSMA (l’association des fournisseurs GSM) qui représente les intérêts de plus de 800 opérateurs de téléphonie #cellulaire, éditeurs de logiciels ou encore sociétés Internet de 220 pays différents. Les plus grands noms y figurent. Interrogé par le journal, le porte-parole de l’association s’est contenté de déclarer que si quelque chose d’illégal s’était produit, elle en référerait à la police.
Plus encore, The Intercept relève que les pratiques de la NSA sont en contradiction flagrante avec la mission du NIST (National Institute for Standard & Technology), une agence gouvernementale américaine chargée de déterminer les standards US en matière de cybersécurité. Si la NSA a introduit des failles dans les systèmes c’est donc en violation des recommandations de la NIST et même en violation de directives édictées par le président Obama stipulant que la NSA ne devait « en aucun cas subvertir, saper, affaiblir ou rendre vulnérable n’importe quel logiciel commercial ». Un autre panel a enjoint la NSA à prévenir les entreprises lors de la découverte de failles de type Zero-Day.
La directive présidentielle souffre toutefois elle-même d’une faille d’envergure puisqu’il est précisé que l’exploitation secrète des failles est interdite, sauf dans le cas « d’une question de sécurité nationale ou d’application de la loi ». Ce qui laisse libre cours à toute interprétation et peut signifier que c’est interdit sauf lorsque c’est autorisé : une posture très souvent adoptée par la sulfureuse agence.
▻https://firstlook.org/theintercept/2014/12/04/nsa-auroragold-hack-cellphones
