Après avoir lu les 61 pages du rapport de l’inspecteur général de la DOD datant du mois d’août 2016, sur la mise en œuvre par la NSA (National Security Agency) de l’Initiative “Secure-the-Net”, récupéré par The New York Times via un Freedom of Information Act (FOIA), la seule image que l’on peut voir apparaître est celle des Katzenjammer Kids devenant fou furieux !
La protection des données de la NSA (ou leur absence) avait été mis en évidence lorsqu’Edward Snowden, puis un entrepreneur à Hawaï, avait dérobé des 1.5 millions de documents. La manière utilisée par Snowden pour mener cette collecte de données massive est très intéressante, car il a utilisé son accès naturel et a ensuite incité ses collègues à fournir leurs identifiants d’accès interne, étant donné son rôle d’administrateur système. Dans les mois qui ont suivi, il ne faisait aucun doute que la NSA pouvait ou devait à tout prix serrer la vis en matière de sécurité.
L’initiative “Secure-the-Net” (STN) a ainsi été lancée après Snowden, incluant 40 recommandations spécifiques “axées sur les menaces venant des insiders au sein des systèmes, des données et de l’infrastructure de la NSA”. Sept de ces recommandations ont été conçues pour “sécuriser l’accès au réseau, protéger contre des menaces provenant d’insiders et assurer une surveillance accrue du personnel bénéficiant d’un accès privilégié»”.
Les sept initiatives du programme STN sont les suivantes :
- Élaborer et documenter un nouveau modèle d’administration système.
- Évaluer le nombre d’administrateurs système au sein de l’entreprise.
- Mettre en place un contrôle d’accès via deux personnes au niveau des centres de données et des salles machines.
- Mettre en place un contrôle d’authentification en deux étapes pour l’administration système.
- Réduire le nombre de personnes ayant un accès privilégié.
- Réduire le nombre d’agents autorisés au transfert de données (ceux autorisés à utiliser des supports amovibles).
- Superviser les activités des utilisateurs privilégiés.
Le rapport du Department of Defense (DOD) a examiné les progrès de la NSA pour améliorer la sécurité vis-à-vis des sept recommandations citées par l’initiative STN. Un audit a été mené dans quatre établissements entre janvier et juillet 2016.
Le rapport du DOD est accablant et sans appel pour la NSA. Non pas parce que la NSA n’a pas tenté de mettre en œuvre, mais plutôt, parce qu’elle a fait un travail pitoyable dans la mise en œuvre.
Le verbatim du rapport survole cette mise en œuvre partielle des recommandations, par exemple :
La NSA n’a pas effectivement mis en œuvre les trois initiatives STN liées à l’accès privilégié … parce qu’elle n’a pas développé une stratégie STN qui détaillait un cadre et une méthodologie structurés pour mettre en œuvre les initiatives et mesurer leur réelle mise en place.
Par exemple, en ce qui concerne l’authentification à deux facteurs (2FA), la NSA l’a implémenté pour les administrateurs système, mais pas pour ceux ayant un accès privilégié. Pourtant la technique utilisée par Snowden pour contourner les contrôles d’accès privilégiés actuels et inciter ses collègues à lui fournir leurs identifiants, qu’il a ensuite utilisés pour étendre son propre accès, avait été suffisamment documentée et explicitée.
Une exigence du 2FA aurait exigé que le propriétaire des identifiants en question ait participé à l’utilisation de ces derniers par Snowden. La mise en œuvre par la NSA, comme décrite dans le rapport, montre comment elle a finalement choisi de laisser grande ouverte la fenêtre par laquelle Snowden est passé pour récolter les données dérobées.
De plus, le rapport poursuit son châtiment envers la NSA, en pointant du doigt qu’elle ne sait absolument pas combien de personnes ont un accès privilégié en 2014, ni en 2016, et que la NSA ne pouvait pas non plus suivre comment cette réduction ou ce nettoyage avaient pu être menés à bien. Cela signifie en réalité que l’équipe en charge de l’inspection ne pouvait pas savoir exactement combien de personnes avaient un accès privilégié.
Alors que l’accent a été mis sur l’insider de confiance devenu dangereux, à savoir Edward Snowden, l’acquisition par Shadow Brokers’ des outils de collecte “Office of Tailored Access Operations (TAO)” de la NSA montre encore un peu plus le besoin de continuer à se focaliser sur le verrouillage encore plus strict en interne.
Comment l’accès au TAO a été possible demeure un mystère. Cela a pu venir d’un insider (contractuel ou employé) ou cela pourrait venir du fournisseur censé avoir développé les outils concernés, à savoir Equation Group, qui a lui-même été piraté. Par coïncidence, le rapport de l’inspecteur général a été publié la semaine après que les Shadow Brokers aient mis les outils TAO aux enchères. Un mois d’août 2016 plutôt actif en effet !
Mais qu’en est-il du contractuel de la NSA Harold Martin, un autre insider ? Martin, qui a travaillé pour Booz Allen Hamilton, avait réussi à accumuler jusqu’à 50 téraoctets d’informations de la NSA. La mise en examen de Martin restait valide jusqu’à octobre 2016, mais il a été arrêté le 27 août 2016, oui deux jours avant la publication du rapport des inspecteurs généraux. Le mois d’août 2016 a vraiment été un mois intense dans le monde de l’espionnage et du contre-espionnage !
Est-il difficile d’attraper un insider ? Oui, ça l’est. Si un individu ne va pas au-delà de son accès naturel, du processus et des procédures, il sera difficile à détecter, et même s’il est réaliste de dire que le 100% n’est pas atteignable, il existe des mesures qui peuvent être prises pour sécuriser l’environnement afin de diminuer les risques, en les emmenant aussi près que possible de zéro. C’était l’intention de la STN.
Existait-il de bonnes choses dans l’initiative STN ? Bien sûr ! Le National Industrial Security Program des États-Unis, mis en place par le “Defense Security Service”, a mis en action son programme obligatoire visant les menaces provenant d’insiders au niveau de toutes les installations et de tous les contractuels agréés. Ces programmes sont devenus obligatoires le 1er juin 2017.
On pourrait se rappeler l’arrestation récente d’un contractuel de la NSA, Reality Winner, qui s’est emparé d’un document hautement classifié évaluant et discutant de l’entité du renseignement militaire russe (le GRU) étant potentiellement impliquée dans les élections américaines. Winner, en utilisant son accès privilégié, a imprimé le rapport, puis l’a envoyé par la poste à un média. Quand la NSA a vu le document, elle a rapidement déterminé qui y avait eu accès, qui l’avait imprimé et ensuite qui l’avait envoyé à la presse.
Ce qu’elle n’était apparemment pas en mesure de déterminer était comment et pourquoi Winner avait un accès privilégié à ces informations, qu’elle n’avait pas besoin de savoir.
On pourrait argumenter que cette capacité ultra rapide utilisée pour identifier Winner n’aurait pas été possible sans les initiatives STN. D’autre part, on pourrait supposer que la partie “accès privilégié” du programme STN de la NSA a encore besoin d’être optimisée.
Billet inspiré de NSA failed to implement security measures, says damning report, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.