SecurityInsider
Le blog des experts sécurité Wavestone

Comment limiter le risque d’écoutes lors d’une réunion ?



À chaque affaire d’écoute, de la cellule de l’Élysée à la NSA en passant par les enregistrements de Patrick Buisson, la protection des communications téléphoniques et des réunions revient au cœur de l’actualité, avec la même question comment se protéger ?

En effet il est de nombreux cas, de réunions sensibles du comité de direction à des questions relatives aux secrets industriels, en passant par des communications entre journalistes, où il est important et légitime de  chercher à se prémunir d’une écoute clandestine.

S’il est impossible d’empêcher une écoute –  un attaquant décidé et avec des moyens trouvera toujours un moyen d’accéder aux communications comme le prouve la transcription de certains échanges de haut dirigeants européens et ce malgré le travail intense d’un service de contre intelligence [DE INTERCEPT] – il est cependant possible de mitiger le risque et d’au moins augmenter le coût de l’attaque.

Cet article, sans vouloir être exhaustif, explore quelques mesures et pistes afin de réduire ce risque, avec une attention particulière sur les mesures techniques liées à l’électronique (les autres mesures de contre-intelligence ne seront volontairement pas traitées).


Sécuriser les communications entrantes et sortantes

Dès lors que des communications entrantes et sortantes de la salle de réunion sont opérées, par téléphone, Lync ou visioconférence, celles-ci peuvent faire l’objet d’une écoute.
Si l’on prend le cas d’un appel téléphonique (la même logique pouvant être appliquée pour un système de téléconférence), l’écoute peut avoir lieu à plusieurs endroits, dont :
  • Au niveau du canal de communications
    • Lien radio local entre le téléphone et la station de base
    • Lien entre la station de base et le cœur du réseau
    • Au niveau du réseau opérateur
  • Au niveau des endpoints
    • Sur les appareils eux même (téléphone)
    • Ou de tout autre objet ou personne situé dans la pièce où a lieu la communication

Le paradigme de base est de considérer le réseau de communication comme non sûr : outre les attaques gouvernementales et les écoutes pratiquées au niveau des opérateurs, l’accès à un système d’interception « local » tel qu’un IMSI catcher (un système se faisant passer pour une fausse station de base et nécessitant d’être à proximité de la cible) est accessible à un particulier tel qu’un détective privé (une petite mallette étant vendue au marché noir entre 5 000 $ et 500 000$ selon les capacités et la portée du système) ou une personne ayant un peu de compétences techniques et disposant d’un budget de $ 1 500 [IMSI HH].

La contre mesure, assez classique, consiste à chiffrer les communications avec un système contrôlé par l’entreprise, afin de rendre inintelligible le contenu de l’écoute.

Dans le cas d’un attaquant peu qualifié, opérant par exemple un simple IMSI catcher ou dans le cadre d’une écoute au niveau opérateur (action courante dans certains pays), l’usage d’un logiciel de téléphonie chiffrant sur smartphone peut se révéler être suffisant. En effet un outil tel que RedPhone/Signal, SilentCircle, Moseo ou encore Cryptosmart sur un téléphone standard peut se révéler être, selon le cas, un meilleur choix qu’un cryptophone dédié.

Bien qu’offrant un niveau de sécurité supérieur, ce dernier présente un risque de blocage d’adoption par l’utilisateur : si un VIP doit constamment transporter deux téléphones dont l’un est suffisamment épais pour ne pas rentrer dans sa poche de costume et prend une éternité à démarrer la conversation, il y a de forte chance que celui-ci choisisse de ne pas l’utiliser. Alors que lancer une simple application sur son smartphone habituel se révèle de loin plus ergonomique. Bien sûr une application de cryptophonie sur un téléphone grand public est de loin insuffisant pour de défendre d’un attaquant un tant soit peu décidé, mais la contremesure est à considérer au cas par cas en fonction de l’acceptation par les utilisateurs et du besoin d’équiper les correspondants pour avoir une communication sécurisée de bout en bout.

Dans le cas d’un attaquant décidé, il est nécessaire de recourir à des cryptophones dédiés, spécialement conçus et audités par un tiers de confiance [CRYPTOPHONES], en fonction du besoin (communication ayant un caractère confidentiel d’entreprise ou classifié).

En ce qui concerne les communications classifiées, il est nécessaire de se rapprocher de l’autorité compétente. Dans un cadre non réglementé, il est possible de se procurer de tels systèmes dans le commerce (BlackPhone, Bull Hoox, GSMK, SecuVoice, Tesly, Omnisec, Crypto AG, etc) tout en considérant d’une part que ce système est potentiellement backdooré (l’important étant plus de choisir par qui) et qu’il est peu probable qu’il puisse résister à une attaque d’une agence de renseignement compétente (vulnérabilité, implant matériel, etc).

Une autre possibilité est d’utiliser une technologie classique, par exemple un téléphone VoIP en srtp sur un VPN IPSEC, en s’inspirant des mesures exposées par la NSA dans les Capabilities Package de son programme « Commercial Solutions for Classified Program » [CSfC]. D’autres mesures sont détaillées dans le document Defending mobile devices for high level officials and decision-makers [CCDOE] sur NATO Cooperative Cyber Defence Centre of Excellence.

Globalement, il est important de définir la cible de sécurité, contre qui et quoi l’entreprise cherche-t-elle à se protéger, les mesures et la capacité à remplir l’objectif étant très différentes si l’on considère un employé mécontent ou une agence de renseignement.

L’usage de téléphone prépayé ou pris sous un faux nom n’est pas non plus une solution, l’attaquant pouvant écouter toutes les communications dans un périmètre ou procéder par reconnaissance vocale ou analyse des métadonnées pour identifier sa cible.

Supposons maintenant qu’un dispositif de communications sécurisées est en place ou que les appels ont été interdits.


Les communications sont coupées ? … Attention autres smart-things !

Avant même de commencer à considérer des dispositifs d’enregistrement placés sur mesure dans la pièce, il est important d’éliminer tout objet apporté ou présent intentionnellement pouvant servir de microphone.

En particulier les téléphones portables et smartphones peuvent être infectés et activés afin de servir de micro d’ambiance. Ces capacités ne sont pas réservés aux seuls gouvernements, dans la mesure où des « logiciels de surveillance » sont disponible pour 150 à 400 $ avec une simple recherche google (payable en bitcoin pour certains) et dont l’usage ne demande aucun expertise technique particulière.
L’inoculation peut soit se faire à distance (phishing ou vulnérabilité visant le navigateur ou tout autre composant logiciel ou matériel) soit avec un accès physique (on peut imaginer une approche « pick pocket » ou un accès lorsque la cible va faire une activité sportive ou se rend à la salle de bain se son hôtel). D’autre part rappelons que des entreprises comme HackingTeam ou Gamma vendent des plateformes d’attaque complète avec packaging de zero days à de nombreux gouvernements et force de police (voir l’article [HT SI] pour plus de détails). Outre des usages d’espionnage économique classique, certains membres des forces de l’ordre pourraient également être tentés d’utiliser les outils à leur disposition en dehors du cadre légal [STIN 300].

Ainsi la solution serait d’exclure de la pièce tout dispositif électronique non contrôlé, du téléphone portable à l’ordinateur en passant par les smartwatches et les baladeurs MP3. Il est également important de vérifier qu’aucun participant n’ait amené intentionnellement un dispositif d’enregistrement comme dans le cas de l’affaire Buisson.


Attention aux hauts parleurs et aux caméras…

Un haut-parleur fonctionnant sur le même principe qu’un microphone, il peut également être utilisé comme dispositif d’enregistrement avec quelques modifications. Il est souvent moins risqué pour un attaquant de modifier un équipement existant plutôt que de tenter d’introduire un dispositif spécifique. Ainsi il ne faut pas se contenter d’exclure les objets équipés d’un microphone mais également les lecteurs de musique, hauts parleurs muraux intégrés et autres systèmes similaires.

Il est également important d’enlever de la pièce tout système d’enregistrement d’image (caméra pour visiophonie, caméra de sécurité, etc) afin d’empêcher de filmer la scène et de reconstituer les dialogues à partir des mouvements des lèvres.

Déplacer la caméra ou se placer en dehors de son champ de vision n’est pas non plus suffisant dans la mesure où une vidéo des vibrations produites par la voix sur un objet de la pièce peuvent être utilisées pour reconstituer le son. Une description détaillée de la technique est disponible sur le site du MIT avec en particulier une démonstration basée sur les vibrations des feuilles d’une plante et une autre sur un emballage de barre énergétique [MIT] (notons que cette approche n’est pas limitée aux seules vibrations d’une vitre comme montré dans certains films).

… sans oublier le rétroprojecteur 

Une autre approche pour accéder au contenu d’une réunion est d’attaquer le système utilisé pour projeter le support, que ce soit un implant matériel dans le rétroprojecteur ou un implant logiciel dans certains équipements plus récents. La règle de base étant de considérer que tout composant électronique peut être backdooré, y compris le câble servant à relier l’ordinateur au projecteur (voir le projet RAGEMASTER de la NSA dont le coût serait de 30$).


(source : https://www.eff.org/files/2014/01/06/20131230-appelbaum-nsa_ant_catalog.pdf)

Le « nettoyage » de la pièce

Supposons que tous les objets potentiellement dangereux aient été retirés, il est maintenant temps de passer aux implants (microphone et autre) qui auraient pu être placés dans la pièce ou sur l’un des participants.

Une description détaillée des mesures et techniques par M. Glasser et J Prusan est disponible sur le site de la Black Hat [BH]. Nous ne ferons que quelques focus sur des points clefs dans le présent article.

Contrairement à ce qui est montré dans beaucoup de films, la simple inspection visuelle, bien qu’indispensable au process de vérification, n’est en aucun cas suffisante. Outre les gadgets comme les stylos, briquets, chaussures ou autre livres microphone, ceux-ci peuvent être cachés dans la masse des objets ou incorporés dans les murs (au moment de la construction ou a postériori).

D’autre part si l’utilisation d’un analyseur de spectre permet de détecter les systèmes les plus simples, il sera plus compliqué d’identifier des systèmes émettant en rafale (transmission courte et rapide plutôt qu’en continu), transmettant l’information après l’inspection ou encore si des fréquences standard (GSM, Wifi) sont utilisées dans un contexte où leur présence est considérée comme normale.

Glasser et Prusan identifient plusieurs approches dans leur présentation : analyse des réflexion du signal, localisation d’émission radio, utilisation d’un détecteur de jonction non linéaire (un dispositif qui permet de détecter la présence de semi-conducteurs et donc particulièrement utile pour l’inspection des murs, sols ou objets comme des tables), analyseur de spectre entre autre et bien sur l’inspection physique.


Détecteur de jonction non linéaire
Source : http://www.police.gov.hk/offbeat/769/images/p02_2.jpg

Le mobilier et les effets personnels des invités peuvent être passés aux rayons X et des mesures similaires à celles présentées dans le paragraphe précédent peuvent être mise en place. Il n’est pas cependant aisé de demander à des participants, de surcroit s’il s’agit de VIP de se plier à ce genre de formalités. Souvent le mieux qui puisse être fait est de leur demander de laisser leurs effets personnels à l’entrée de la pièce et de leur fournir un bloc note et un stylo dans la salle de réunion.


Propagation des ondes sonores

Une autre approche moins technologique mais néanmoins efficace pour un attaquant est d’écouter le contenu du meeting en étant présent caché dans la pièce (domestiques dans certains pays, pièces cachées, etc). Cette approche présentant un risque important, une autre possibilité est d’utiliser une pièce dont la forme est spécialement conçue pour renvoyer le son au travers d’une bouche d’aération ou de disposer d’une fausse cloison assez fine pour accéder au contenu avec un amplificateur de son. Ce genre de cas est plus particulièrement présent lors de rencontre dans un lieu non maîtrisé par l’entreprise (hôtel, palais des congrès, etc).

Rappelons que d’après les documents de Snowden, le GCHQ (agence britannique) aurait mis en place un système de surveillance des réservations d’hôtel afin de rediriger les cibles vers des lieux plus « amicaux » pour les écoutes. Il est fort probable qu’une approche similaire soit prise par de nombreux pays voir entreprise dans le milieu de l’intelligence économique.


Source : http://www.spiegel.de/fotostrecke/photo-gallery-the-gchq-s-special-room-service-fotostrecke-103860.html

Dans le cas d’un meeting en extérieur, un amplificateur de son peut être utilisé ou un petit drone peut être amené à proximité entre le moment de l’inspection et le début de la rencontre.


Émission électromagnétiques

Afin d’empêcher la captation de signal électromagnétique, qu’il soit délibéré comme dans le cas d’un dispositif d’enregistrement-émission ou involontaire (fuite électromagnétique des équipements), l’usage d’une cage de Faraday peut être nécessaire. Lorsqu’une cage fixe n’est pas envisageable, par exemple en déplacement, certains VIP ont recours à des tentes de Faraday portables, comme l’illustre ci-dessous une photographie du président américain. Outre la prévention d’émission électromagnétique, une telle tente limite le risque lié aux caméras.


(Source : http://www.bbc.com/news/world-us-canada-12810675)

Aspect de contre surveillance

Outre les mesures classiques d’analyse de la menace, de routines de changement de lieu, d’évaluation du risque posé par les personnes et autres actions similaires, il est important de noter que :
  • une surveillance active est d’une part elle-même vulnérable à une contre surveillance (les équipes d’attaques n’étant pas toujours formées elles même à la contre surveillance, ce en particulier dans le cas de personnes plus amateurs)
  • en ayant connaissance de cette surveillance, il est possible de manipuler l’attaquant.
En effet la préparation d’une mise sous écoute demande souvent un travail important de surveillance pré-opératoire, afin d’identifier la cible, ses habitudes, ses points faibles, les mesures de sécurité en place, où aura lieu le meeting, etc. L’un des points importants étant de pouvoir établir des schémas (heures de venue, tour des gardes) une telle opération nécessite une certaine durée de temps et mis à part pour des personnes particulièrement entrainées, induit un comportement qui peut être détecté par une équipe de contre surveillance qui pourra réagir en conséquence. Si l’on exclut les gouvernements qui disposent de services entiers, une organisation ou un individu souhaitant monter une opération de surveillance utilisera un nombre réduit de personne (équipe dédiée, contrat auprès d’un détective, etc), augmentant la probabilité de détection.

D’autre part, si une surveillance est identifiée, il est possible de manipuler l’attaquant, soit en exploitant l’écoute pour fournir de fausses informations, en le forçant à se révéler (en fonction du cas ou du besoin) ou en mettant une forte pression afin de compliquer sa tache (tout en tenant compte que la surveillance peut elle-même être constituée de deux équipes, une servant de pot de miel/appât alors qu’une seconde plus entrainées est présente).


Limites et difficultés

Les mesures exposées précédemment se heurtent naturellement à certaines limites, en particulier au niveau humain. Une personne de l’assistance ou l’un des techniciens sécurité peuvent être corrompu ou manipulé. D’autre part ces mesures ne protègent pas de la stupidité : si l’un des assistants décide de débriefer par téléphone le soir même son supérieur à l’encontre des règles de sécurité ou d’en parler avec son épouse, l’information pourra être captée à ce moment-là.

Une autre difficulté est d’identifier des personnes qualifiées en contre surveillance, un très grand nombre d’acteurs incompétentes mais sachant néanmoins bien se vendre étant présents sur le marché. En l’absence de connaissance plus poussées sur le sujet, l’auteur recommande de contacter les services de l’état afin de demander conseil sur ce point, lorsque le contexte le permet.

Enfin la sécurisation d’une salle de réunion est un processus, qui doit être maintenu dans le temps. Une inspection annuelle de la salle du conseil du comité de direction laisse une grande marge de manœuvre à un attaquant, de même que le service de ménage ou les techniciens maintenant le lieu.


Conclusion

Que faire pour sécuriser un meeting ? La première étape est d’identifier la cible de sécurité, contre qui et quoi doit-on se protéger, tout en prenant en compte la nature de l’échange. En effet des mesures différentes seront à appliquer si on considère un collaborateur mal intentionné, un détective privé ou une agence de renseignement. D’autre part il est nécessaire de déterminer si l’information est un secret à long terme ou n’a-t-elle qu’une validité temporelle limitée ?

Si le meeting est sensible, outre une vérification basique de la pièce, il est recommandé d’en exclure tout système électronique  et de demander aux invités de laisser leurs téléphones, ordinateurs et autres dispositifs à l’entrée et de travailler sur papier. Dans le cas de meeting très sensibles, des mesures plus avancées de contre surveillance doivent être mises en place, avec l’aide de personnes disposant des compétences nécessaires.

En cas de doute, il est possible de mener la réunion en supposant qu’elle est sur écoute, et de n’échanger les informations les plus sensibles que sur un papier plié ou par discussions indirectes (bien que cette approche présente elle-même ses limites).


Notes

L’auteur tient à préciser qu’il n’est ni expert en contre surveillance, ni en identification d’implants. Les informations présentées dans le présent article sont basées sur différentes sources ouvertes dans une logique de sécurité. Il est fortement recommandé de faire appel à des experts en contre surveillance pour l’évaluation de la menace et la mise en place du plan de sécurisation. Si le contexte le permet, et si ce n’est déjà une obligation règlementaire, il est fortement conseillé de demander conseil auprès des services de l’état qui disposent de l’expertise et des connaissances nécessaires. Enfin seul la sécurité des réunions officielles, tel qu’applicable en entreprise a été abordé ici, les mesures pour d’autre types de meeting ont été volontairement exclus.


Références :

[CCDOE] https://ccdcoe.org/multimedia/defending-mobile-devices-high-level-officials-and-decision-makers.html
[DE INTERCEPT] https://wikileaks.org/nsa-germany/intercepts/
[IMSI HH] http://www.engadget.com/2010/07/31/hacker-intercepts-phone-calls-with-homebuilt-1-500-imsi-catcher/
[CRYPTOPHONES] http://electrospaces.blogspot.fr/2012/06/highly-secure-mobile-phones.html 
[CSfC] : https://www.nsa.gov/ia/programs/csfc_program/
[HT SI] http://www.securityinsider-solucom.fr/2015/08/la-boite-outils-de-hacking-team-la.html 
[STIN 300] http://arstechnica.com/tech-policy/2015/05/county-sheriff-has-used-stingray-over-300-times-with-no-warrant/
[MIT] http://news.mit.edu/2014/algorithm-recovers-speech-from-vibrations-0804 et http://people.csail.mit.edu/mrub/VisualMic/
[BH] http://www.blackhat.com/presentations/bh-usa-03/bh-us-03-prusan/bh-us-03-prusan.pdf
Ary KOKOS

Aucun commentaire:

Enregistrer un commentaire